15 Fév 2019
Encryption is about more than technology— it innovates the way we deliver and safeguard our communications

À quel point votre système de cryptage est-il sécurisé ?

Le cryptage – cela vous semble sûr, n’est-ce pas ? Ça l’est. Mais, comme toute porte fermée à clé, coffre ou coffre-fort, certaines choses peuvent être encore plus sûres que d’autres, n’est-ce pas ? Exactement.

Bien que les produits de sécurité de messagerie prêts à l’emploi peuvent offrir le cryptage du courrier électronique en tant que fonction intégrée dans le cadre d’un ensemble plus vaste, il existe des options de sécurité naturelles que vous pourriez envisager pour mieux protéger votre marque et vos clients. Et, dans le monde d’aujourd’hui centré sur le client, où la confiance numérique est facilement conquise, plus facilement détruite et impossible à récupérer, vous devez prendre toutes les précautions envisageables pour protéger vos communications même cryptées.

Voici quelques façons d’ajouter un peu plus de dynamisme à vos efforts de cryptage :

 

  1. Contrôles flexibles pour chaque situation.

Que vous envoyiez des millions de relevés électroniques ou simplement un document de nature sensible, tous les messages cryptés ne sont pas identiques. Recherchez une plateforme de cryptage qui vous propose une expérience utilisateur personnalisable tant pour les expéditeurs que pour les destinataires. Cela vous permettra de garder le contrôle de votre message crypté en cours de transmission ou même au repos.

  1. Options multilingues et de marque

Si votre entreprise exerce une activité au niveau international, il y a de fortes chances que l’anglais ne soit pas la langue maternelle de certains de vos clients. Offrir des communications cryptées dans la langue de vos utilisateurs aide à éliminer la confusion et constitue un excellent service à la clientèle. Avec OneWorld d’Echoworx, par exemple, vous pouvez définir des politiques linguistiques qui peuvent être appliquées automatiquement aux communications cryptées en fonction des attributs de l’expéditeur, de la marque, du site ou du destinataire.

  1. Une expérience utilisateur simplifiée

Le cryptage est une technologie en vogue – mais son utilisation ne l’est pas. Les données d’Echoworx révèlent que seulement 40 % des entreprises qui ont des dispositifs de cryptage les utilisent dans toute leur structure organisationnelle. Faire du cryptage une solution cohérente et facile d’accès est un bon moyen non intrusif d’amener vos employés et vos clients à communiquer en toute sécurité.

Modes de transmission diversifiés

Dans le cas de la transmission traditionnelle de messages sécurisés, où le TLS est utilisé, si une connexion TLS n’est pas disponible ou prise en charge par le destinataire, il n’y a que deux résultats : recevoir une erreur ou envoyer un message non crypté. La prise en charge de plusieurs méthodes de transmission sécurisées offre des options de repli efficaces – garantissant que les données sensibles sont toujours envoyées et ne sont jamais envoyées sans protection.

  1. Un meilleur système de mots de passe

Bien qu’une méthode de cryptage à mot de passe unique soit sécurisée, le mot de passe en soi est uniquement sécurisé que s’il est envoyé vers une destination sécurisée. En d’autres termes, si le mot de passe unique et le message crypté sont tous deux envoyés dans la même boîte aux lettres, on accorde énormément de confiance à la sécurité du dispositif du destinataire ou dans sa boîte aux lettres électronique. Une solution naturelle à ce problème serait d’envoyer le mot de passe à l’expéditeur, qui peut ensuite le communiquer comme il le souhaite à son destinataire.

La différence Echoworx

Echoworx révolutionne la méthode de cryptage et de transmission de messages sécurisés. Notre plateforme de cryptage OneWorld est une extension naturelle pour la plupart des systèmes existants et offre une large gamme de méthodes de cryptage flexibles, adaptables et fiables de transmission pour une utilisation au niveau des entreprises.

Pour de plus amples informations sur les méthodes de cryptage sécurisé d’Echoworx OneWorld.

Par Derek Christiansen, responsable de l’engagement, Echoworx

25 Jan 2019
Protecting sensitive incoming data

Cryptage entrant : Le pourquoi et le comment

Alors que votre entreprise a mis en place des systèmes pour crypter les courriels sortants, que se passe-t-il lorsque vous recevez un courriel contenant des renseignements sensibles ? S’il n’est pas déjà crypté, est-ce que vous refusez de l’accepter ? Est-ce qu’il se retrouve bloqué par vos filtres de conformité ? Si oui, quel message envoyez-vous en refusant de recevoir ?

Qu’est-ce que le cryptage entrant ?

Le cryptage entrant est le processus par lequel les courriels contenant des informations sensibles, comme les numéros de carte de crédit, sont cryptés avant d’être sauvegardés dans les serveurs de messagerie de l’entreprise. Les filtres de cryptage entrant analysent tous les courriels en fonction d’un ensemble de règles bien définies, en examinant le contenu et les pièces jointes, ainsi que les destinataires.

Pourquoi le cryptage entrant est-il nécessaire ?

Les exigences PCI (Norme de sécurité de l’industrie des cartes de paiement) précisent que les courriels contenant des données sur les titulaires de carte doivent être cryptés pendant leur transmission sur des réseaux publics ouverts et que les données des titulaires de carte doivent être protégées avant leur archivage. Cela signifie que les informations sensibles ou personnelles telles que les numéros de carte de crédit ne peuvent pas être sauvegardées sur votre réseau sans être cryptées.

Par exemple, vous pourriez diriger une grande entreprise de vente au détail vers laquelle les clients envoient des requêtes par courriel contenant des données sensibles, comme des renseignements sur les cartes de crédit. Afin de vous conformer à la législation PCI, votre système de filtrage de messagerie peut être configuré pour bloquer ou supprimer ces types de messages. Cette situation peut entraîner l’insatisfaction des clients, car leurs courriels restent sans réponse, ce qui entraîne des pertes d’affaires et des préjudices involontaires à leur marque.

Comment fonctionne le cryptage entrant ?

L’utilisation d’un système de transmission PDF sécurisé permet aux entreprises de réduire au minimum leurs risques de sécurité face aux normes PCI. Au lieu de procéder eux-mêmes au cryptage, ils utilisent un service tiers qui fournit un cryptage à la volée des courriels, déclenché par des politiques automatisées sur une plate-forme certifiée PCI. Lorsque les messages contenant des informations sensibles arrivent cryptés et sécurisés, ils sont moins susceptibles d’être bloqués par les services de filtrage de messagerie existants.

Tous les courriels entrants qui déclenchent une politique de cryptage sont automatiquement cryptés dans un fichier PDF sécurisé, avec toutes les pièces jointes, avant d’être envoyé directement dans la boîte de réception d’un destinataire. Dès réception du courriel, le destinataire télécharge simplement les pièces jointes cryptées et saisit une phrase secrète auto-enregistrée pour authentifier, ouvrir et lire son contenu.

Ce qu’il faut considérer pour une solution efficace de cryptage entrant

Proposer une option de cryptage sécurisé pour tous les courriels entrants ne devrait pas nécessairement être compliqué. L’utilisation d’un système de transmission PDF sécurisé garantit non seulement le stockage sécurisé des informations sensibles, mais aussi le respect des réglementations en matière de confidentialité et des normes de sécurité des données par votre entreprise.

Pour en savoir plus sur le cryptage entrant avec Echoworx OneWorld.

En plus de la transmission sécurisée de fichiers PDF, toute solution de cryptage digne de ce nom doit offrir des méthodes de transmission sécurisées supplémentaires, allant du portail Web aux pièces jointes sécurisées, SMIME/PGP et TLS. Bien que les réponses et tout autre échange puissent être effectués via des fonctions de réponse sécurisée intégrées, vos employés peuvent également disposer d’options supplémentaires pour communiquer en toute sécurité avec leurs clients.

Pour de plus amples informations sur les méthodes de cryptage sécurisé d’Echoworx OneWorld.

Par Derek Christiansen, responsable de l’engagement, Echoworx

23 Jan 2019

Echoworx renforce sa présence européenne avec un nouveau centre de données en Allemagne

TORONTO – Echoworx a le plaisir d’annoncer l’ouverture de son nouveau centre de données en Allemagne. Cette initiative renforce encore davantage la présence et l’avantage concurrentiel d’Echoworx au sein de l’Union européenne.

Reconnue pour ses industries manufacturières, allant de l’industrie automobile à l’industrie pharmaceutique, ses centres financiers établis et ses secteurs de croissance comme la cybersécurité et les technologies, l’Allemagne est un leader économique officieux de l’UE. En outre, avec les nouvelles réglementations spécifiques aux pays favorisées par le lancement du Règlement général sur la protection des données (RGPD) au printemps dernier, le moment ne pourrait être mieux choisi.

Même si le RGPD est un terme générique pour l’ensemble de l’UE, sa mise en œuvre varie d’un pays à l’autre. Et s’agissant de la résidence des données, presque chaque entreprise allemande exige que ses données demeurent à l’intérieur du pays. Les sociétés nationales comme internationales cherchant à exercer leurs activités en Allemagne doivent avoir accès à des centres de données hébergés en Allemagne afin d’être compétitives.

« Il est important de savoir où et comment les données sont stockées lorsqu’on cherche un partenariat avec une tierce partie en vertu des nouvelles réglementations sur la confidentialité comme le RGPD. Quand des données commencent à quitter une zone protégée, par exemple, les réglementations restent applicables. Avoir accès à un centre de données au sein d’une région cible, comme l’Allemagne dans ce cas, offre des avantages concurrentiels », a déclaré Alex Loo, vice-président des opérations chez Echoworx.

Afin de répondre à tous les besoins des entreprises, en plus de son nouveau site allemand, Echoworx compte actuellement des centres de données au Canada, aux États-Unis, au Mexique, au Royaume-Uni et en Irlande. Tous les centres de données d’Echoworx sont spécifiquement conçus en tenant compte des normes les plus strictes afin de protéger les données et d’assurer la conformité aux réglementations dans des zones géographiques spécifiques.

Echoworx s’engage à fournir aux entreprises des solutions de cryptage efficaces. La plateforme de cryptage OneWorld d’Echoworx propose plusieurs méthodes de livraison sécurisées, une expérience de cryptage de bout en bout transparente et plusieurs options de personnalisation linguistique et de marquage. Le système Echoworx est spécifiquement conçu pour exercer des activités internationales, que ce soit en Europe ou dans le reste du monde.

À propos d’Echoworx 
Echoworx est une société de confiance qui se spécialise dans la sécurité des communications. Fournisseur incontournable de solutions de cryptage, Echoworx collabore avec des professionnels des secteurs de la finance, des soins de santé, du juridique et des réglementations afin de concevoir des solutions de communication sûres qui ne perturbent pas l’expérience client. OneWorld, notre plateforme de cryptage évolutive, peut avoir de multiples applications au sein d’une entreprise. Nos experts en cryptage transforment avec fierté le chaos en ordre pour les grandes entreprises multinationales utilisant notre plateforme de cryptage SaaS. Pour en savoir plus, rendez-vous sur http://www.echoworx.com

Contact auprès des médias chez Echoworx : Lorena Magee, vice-présidente du marketing, +1-416-226-8600

15 Jan 2019
Multiple encryption methods

Comment dois-je choisir la bonne méthode de cryptage ?

Le cryptage est un élément important de toute stratégie proactive sérieuse en matière de cybersécurité. Vous en avez besoin. Vos clients l’exigent. Et les régulateurs l’applaudissent.

Mais on ne se contente pas de « crypter ».

En fait, les algorithmes mis à part, il existe de multiples façons de crypter, de regrouper et d’envoyer des informations sensibles en ligne en toute sécurité. Chaque méthode présente des avantages uniques et le choix d’une méthode appropriée peut faire toute la différence quand il s’agit de votre expérience client.

Mais comment pouvez-vous choisir une méthode de cryptage qui convient à vos clients ?

Voici quelques questions à se poser :

  1. Pourquoi ai-je besoin du cryptage ?

Avant de choisir la bonne méthode de cryptage, vous devez déterminer pourquoi vous devez utiliser le cryptage dans un premier temps. Quel genre d’informations sensibles transmettez-vous ou recueillez-vous ? Dans quel format ? Qui sont vos destinataires ? Quelles sont les réglementations en matière de protection de la vie privée que vous devez connaître ? Vos messages doivent-ils être cryptés en cours de transmission ? Au repos ? Ou les deux ? Ce ne sont là que quelques questions qui peuvent vous aider à commencer votre parcours en matière de cryptage.

  1. Qui sont vos clients ?

Vos clients sont-ils des experts en technologie ? Où sont situés vos clients géographiquement ? Vos clients sont-ils protégés en vertu des règlements régionaux sur la protection de la vie privée ? Sur quels appareils fonctionnent-ils ? Afin de comprendre quelle méthode de cryptage convient à vos clients, vous devez déterminer exactement ce qui est nécessaire pour communiquer en toute sécurité avec eux ou si d’autres options de cryptage sont nécessaires. Si vos destinataires ne disposent pas d’une connexion TLS, par exemple, plusieurs options de cryptage sécurisé sont nécessaires pour s’assurer qu’aucune information sensible n’est transmise par des canaux non sécurisés.

  1. Qui sont vos employés ?

Dans le monde actuel centré sur le client, vous devez vous assurer que tous les aspects proactifs relatifs à la cybersécurité mettent vos clients au premier plan. Bien que cela puisse sembler n’être qu’une question d’utilisateur final, une bonne expérience client implique également vos employés qui interagissent avec eux. Vous devez vous assurer que le chiffrement est la voie la plus facile pour les employés qui envoient des informations sensibles sur leurs clients – que ce soit en interne ou directement aux clients.

  1. Dans quel secteur travaillez-vous ?

Quand il s’agit de cryptage : une taille unique ne convient pas à tous. Chaque secteur d’activité a des besoins différents en matière de cryptage. Une grande banque, par exemple, a des exigences très différentes de celles d’un grand fabricant – elle doit envoyer des millions de relevés sécurisés par jour plutôt que d’avoir besoin de communications sécurisées pour recueillir des renseignements sur les paiements des clients. Cela doit se refléter dans votre processus de prise de décision lorsque vous choisissez une méthode de cryptage appropriée.

  1. Quelles sont les solutions de cryptage les plus courantes ?

Lorsque vous décidez de la meilleure méthode de cryptage pour un message ou un document, vous devez identifier précisément quel aspect de votre message doit être protégé en cours de transfert et comment vous voulez qu’il soit reçu par votre utilisateur final. Voici quelques solutions courantes utilisées dans différents secteurs d’activités :

Communications B2B : facile à utiliser et efficace, à condition qu’une connexion soit disponible, le TLS (Transport Layer Security) est le standard de l’industrie pour la transmission de courriels sécurisés dans les environnements B2B. En résumé, le TLS crypte la connexion entre deux parties, comme un tunnel crypté, permettant d’envoyer des messages sécurisés sans que l’utilisateur final ait besoin d’étapes supplémentaires.

Pour en savoir plus sur le cryptage TLS.

Services bancaires et financiers : Comme ils envoient fréquemment des courriels qui contiennent des renseignements financiers confidentiels, les établissements bancaires et de services financiers ont besoin d’un cryptage robuste pour assurer la sécurité des données et contrôler l’accès en cas d’attaque informatique. La bonne solution de cryptage peut également permettre aux différents services de l’entreprise d’accéder et de gérer plus facilement les données et messages financiers sensibles. La norme PCI DSS exige que les numéros de compte personnels soient cryptés avant même que les courriels ne soient envoyés, donc les pièces jointes cryptées sont une bonne option dans ce cas.

Le cryptage des pièces jointes est une méthode sécurisée qui crypte les fichiers sensibles, par opposition au cryptage d’un message électronique entier. Les fichiers sensibles sont cryptés et joints dans leur format d’origine ou en PDF sécurisé. Ce type de livraison de cryptage élimine le besoin de convertir ou de télécharger des fichiers de différents formats – créant ainsi une expérience utilisateur plus conviviale et simplifiée.

Pour savoir plus sur les méthodes de cryptage des pièces jointes.

Services de soins de santé : Les renseignements personnels, comme les dossiers des patients, doivent être échangés en temps réel entre les fournisseurs de soins de santé, les administrateurs, les compagnies d’assurance et les patients. Mais, en plus d’être une expérience rapide et transparente, l’échange d’informations sur les soins de santé doit être une expérience sécurisée. En raison de sa nature portable et de son excellente expérience mobile, où les destinataires reçoivent simplement une notification les invitant à se connecter à un portail en ligne sécurisé, sans avoir besoin de logiciel ou d’infrastructure spéciale, le cryptage de portail Web est populaire auprès de nombreux prestataires de soins de santé.

Pour en savoir plus sur le cryptage des portails Web.

  1. Recherchez des partenariats qui font passer les intérêts de vos clients en premier.

Vous ne pouvez tout simplement pas prendre de risques lorsqu’il s’agit de traiter des renseignements personnels sensibles en ligne. Mais, qu’il s’agisse de nouveaux règlements en matière de protection de la vie privée, comme le GDPR, ou des acteurs malveillants de plus en plus créatifs en ligne ou de la concurrence en matière de sécurité, rester au fait des programmes de cybersécurité peut être difficile pour de nombreuses entreprises. Mais les conséquences d’un retard ou d’une brèche peuvent vous coûter du temps, de l’argent et, en fin de compte, vos clients.

Lorsque vous faites équipe avec Echoworx, vous vous associez à une équipe de spécialistes du cryptage dévoués à plein temps. Notre travail consiste à nous assurer que vos données restent sécurisées et conformes et que votre expérience de cryptage se déroule sans encombre intégralement, car un bon service client ne s’arrête pas lorsque vous appuyez sur « envoyer ».

Découvrez notre gamme de méthodes de cryptage sécurisées.

11 Jan 2019
Generation Z, Personal Data and Digital Trust: Unlike Any Before

La Génération Z, les données personnelles et la confiance dans le numérique : Comme jamais auparavant

Trouvez la solution à cette devinette : je suis toujours connecté, mais j’évite les contacts sociaux. Je fais preuve d’une grande attention aux détails, mais j’ai l’attention d’un poisson rouge. Je communique volontiers des renseignements personnels – mais j’exige qu’ils soient protégés. Je me méfie des entreprises – mais je communique avec elles comme s’il s’agissait de ma famille.

Qui suis-je ?

Si vous avez deviné qu’il s’agissait d’un millénaire, vous êtes sur la bonne voie. Mais ces caractéristiques sont plutôt attribuées aux personnes de la Génération Z – la première génération de « digital natives », (personnes nées dans un monde numérique), nées entre le milieu des années 90 et les années 2000, qui sont en passe de percer sur le marché de la consommation. Et, étant donné qu’ils représenteront 40 % de tous les consommateurs d’ici 2020, [1] avec un pouvoir d’achat de 44 milliards de dollars [2], c’est un groupe auquel votre entreprise doit se préparer – surtout lorsqu’il est question de protection des données.

Comment la Génération Z partage-t-elle l’information numérique ?

En tant que « digital natives », les personnes de la Génération Z ne connaissent pas de vie sans connexion avec le monde numérique. Et, comme la plupart de leur vie est déjà en ligne, certains faisant même leur première apparition digitale au moyen de leur premier selfie par le biais d’une échographie utérine, ils sont beaucoup plus à l’aise avec même le fait d’avoir leurs détails les plus personnels soient disponibles par un simple clic de souris. Ils sont « toujours connectés », certains membres de la Génération Z consultent leurs médias sociaux une centaine de fois par jour ou plus, et cela se reflète dans la façon dont ils partagent l’information numérique.

Selon les informations d’Echoworx, la facilité avec laquelle la Génération Z partage des renseignements personnels en ligne est comparable, voire supérieure, à ces mêmes paramètres pour les millénaires. Par exemple, 56 % des membres de la génération Z ne s’opposent pas à la publication de leur pointage de crédit sur les médias sociaux. Cette même mesure est considérablement moins élevée chez les personnes du millénaire, 44 % d’entre elles se sentant à l’aise, et elle continue de diminuer au fil des générations plus anciennes.

Est-ce que la génération Z est naïve ? Ou juste plus rapide ?

La moyenne d’attention moyenne d’un membre de la Génération Z est de 8 secondes, selon les données du Digital Marketing Institute. Et, en tant que digital natives, elles ont besoin d’une gratification instantanée pour le prix des données personnelles – sans trop se soucier des conséquences à long terme ni se demander à quoi servent leurs données personnelles. Mais, en raison de leur faible niveau d’attention, les personnes de la Génération Z sont des experts en matière de filtrage et de conservation des informations qui leur sont présentées [3].

Alors, sont-ils naïfs ? Non. Mais cela ne signifie pas nécessairement qu’ils sont entièrement responsables. Et leur rapidité vertigineuse en matière de vitesse numérique peut les conduire à des pratiques imprudentes lorsqu’il s’agit de protéger leurs données. Par exemple, selon les données d’Echoworx, près de la moitié des personnes de la Génération Z changent régulièrement leur mot de passe numérique. Comparez ce même chiffre à celui de millénaires, où près des trois quarts d’entre eux mettent régulièrement à jour leurs identifiants en ligne.

La Génération Z est-elle imprudente avec ses données numériques personnelles ?

Pour comprendre le point de vue d’une Génération Z, il faut regarder les choses de leur point de vue. Par exemple, confieriez-vous votre (numéro d’assurance sociale) NAS à vos parents ? Pourriez-vous demander conseil à votre sœur sur la meilleure façon d’éplucher une pomme ? Si vous avez répondu oui, remplacez simplement le membre de votre famille par un influenceur en ligne ou l’une de vos marques préférées. Si vous êtes connecté en permanence, vous vivez en ligne.

Et vous faites confiance aux personnes que vous aimez pour vous indiquer la bonne direction. C’est pourquoi les personnes de la Génération Z sont tellement bien disposées pour donner des détails ou obtenir des conseils de marques ou d’influenceurs.

De ce point de vue, le fait de communiquer facilement des renseignements personnels en ligne n’est pas aussi insensé qu’il n’y paraît pour les générations plus âgées.

Et les générations antérieures ne sont pas parfaites non plus. Selon un récent sondage Gallup, près d’un quart des Américains ont été victimes de cybercriminalité en 2018[4], et ce, malgré les affirmations de 71 % des sondés qui se préoccupent de la cyber criminalité et les deux tiers des Américains qui, selon des données de l’American Bankers Association (ABA), prennent des mesures pour protéger leurs données confidentielles [5].

La confiance numérique est un jeu fragile à jouer

Contrairement à ses équivalences hors ligne, la confiance numérique comporte en quelque sorte une sorte d’orgueil : si elle est facile à obtenir, elle est encore plus facile à perdre et presque impossible à rétablir. En fait, selon les données d’Echoworx, plus des trois quarts des membres de la Génération Z envisagent de quitter une marque après une atteinte à la protection des données. Alors, comment jouez-vous à ce jeu ?

Pas de problème. Protégez-les.

Selon Deloitte, les attentes des clients en ligne n’ont jamais été aussi élevées et vos clients exigent un contrôle sur leurs données personnelles. Et 69 % des clients ne croient pas que les entreprises font tout ce qu’elles peuvent pour protéger leurs données [6], mais, selon les données de l’ABA, près de la moitié des Américains continuent à faire confiance aux secteurs traditionnels, comme les banques et la santé [7].

Même si certains peuvent considérer cette nouvelle fascination par rapport à la collecte de données personnelles comme nuisible à la conduite des affaires, votre entreprise devrait la considérer comme un avantage qui vous démarquera par rapport à la concurrence. Si votre enseigne fait tout son possible pour protéger les données de vos clients, en utilisant les meilleures pratiques proactives, telles qu’un cryptage personnalisé et orienté sur les besoins du client pour les documents sensibles en cours de transferts, vos clients seront les premiers à le constater.

Pour en savoir plus sur les façons de conserver la confiance de vos clients à l’égard du numérique.

Par Nicholas Sawarna, Sr. Spécialiste du marketing de contenu, Echoworx

 

——

[1] https://digitalmarketinginstitute.com/en-ca/the-insider-3987498273498375892/19-10-16-is-your-business-ready-for-the-rise-of-generation-z?blog

[2] https://www.forbes.com/sites/kristinwestcottgrant/2018/05/09/data-privacy-social-media-visual-content-adobe-through-the-lens-of-generation-z/#5c812c243a9c

[3] https://digitalmarketinginstitute.com/en-ca/the-insider-3987498273498375892/19-10-16-is-your-business-ready-for-the-rise-of-generation-z?blog

[4] https://bankingjournal.aba.com/2018/12/gallup-poll-quarter-of-americans-victimized-by-cybercrime/

[5] https://bankingjournal.aba.com/2018/12/survey-data-privacy-growing-as-concern-banks-seen-as-trusted/

[6] https://www2.deloitte.com/insights/us/en/industry/technology/digital-media-trends-consumption-habits-survey.html

[7] https://bankingjournal.aba.com/2018/12/survey-data-privacy-growing-as-concern-banks-seen-as-trusted/

28 Déc 2018

Nouvelle année ? Nouveaux défis en matière de sécurité de l’information !

Tandis que nous nous dirigeons vers la nouvelle année, nous repensons aux épreuves, aux tribulations et aux défis auxquels nous avons été confrontés au cours de l’année écoulée – avant de présenter des solutions spécifiques à ces problèmes. Dans le monde de la sécurité de l’information, ces améliorations se situent généralement dans le domaine de l’identification des menaces, de la prévention des problèmes de cybersécurité et de la maîtrise des technologies les plus récentes et les plus avancées en matière de protection des données.

Et quelle année bien remplie cela a été ! Qu’il s’agisse de l’adoption d’une nouvelle loi sur la protection de la vie privée, comme la GDPR ou l’AB 375 de la Californie, ou de nouvelles lois qui menacent la vie privée, comme les nouvelles lois australiennes en matière de cryptage, qui demandent un accès par des portes dérobées aux données, ce fut tout un défi pour nous tous. Nous avons également été témoins d’atteintes à la protection des données et de cas de ransomware qui ont mis à genoux même les grands conglomérats d’entreprises, comme Marriot.

Alors, que faut-il faire en 2019 ?

La triste réalité du monde de la sécurité de l’information est que de nouvelles menaces, de nouvelles arnaques et de nouveaux acteurs malveillants suscitant des inquiétudes semblent faire leur apparition tous les jours. Rester toujours au sommet de cette évolution constante de l’information est suffisant pour rendre quelqu’un fou. Et les conséquences de se laisser distancer peuvent être désastreuses pour votre entreprise, votre réputation et, finalement, vos clients.

L’année dernière, Slava Ivanov, notre éminent ingénieur logiciel chez Echoworx, s’est donné pour mission de rassembler et de regrouper les derniers trucs et astuces en matière de cybersécurité dans un condensé de définitions pour la série d’introduction (101). Qu’il s’agisse de sujets plus légers, comme la nouvelle technologie japonaise utilisant « l’authentification postérieure », qui donne accès à un système ou à une machine via les « empreintes de fesses », ou des aspects plus sérieux sur la sécurité de l’information, comme le « Spear phishing » (harponnage), ou sur les questions de protection de données, comme le cryptage Blowfish, Slava a développé une liste terminologique très pratique qui peut servir de point de départ pour les personnes souhaitant faire des recherches sur un terme.

Donc, avant de finaliser vos résolutions du Nouvel An, cette année, jetez un coup d’œil à l’Introduction à la sécurité informatique (Information Security 101) de Slava pour voir s’il y a quelque chose que vous avez raté en 2018.

Cliquez ici pour consulter les principaux termes et définitions de l’année dernière concernant la sécurité de l’information.

Par Nicholas Sawarna, Sr. Spécialiste en Content Marketing, chez Echoworx

20 Déc 2018
Digital Onboarding

Accélérer votre processus d’intégration des clients grâce à l’adoption du numérique

Avec autant de choix numériques, la procédure d’intégration des clients traditionnels, qui peut prendre des semaines, voire des mois, est certainement une mauvaise expérience client. De nombreux processus sont encore manuels, longs, coûteux et inefficaces. De plus, avec la technologie de pointe à vos trousses, si vous n’arrivez pas à les intégrer rapidement, vos clients pourraient commencer à envisager d’autres options plus simples à utiliser.

Mais le passage au numérique peut comporter des risques réglementaires, surtout si votre entreprise ne prend pas les précautions nécessaires en matière de protection de la vie privée en ce qui concerne les données des clients. Voici comment intégrer de nouveaux clients en toute sécurité, rapidement et, ce qui est le plus important, grâce au numérique :

Pourquoi se préoccuper du passage au numérique ?

Dans tous les secteurs d’activité, y compris la finance et la banque, les interactions avec les clients se déplacent de plus en plus vers des canaux purement numériques. Pour rester pertinents, même les grands prestataires de services bancaires et financiers doivent faire de même. Si les technologies telles que les services bancaires mobiles et numériques ont été adoptées pour la première fois par des millénaires, elles sont aujourd’hui largement utilisées par des clients de tous âges.

En un mot : L’intégration numérique permet aux clients de choisir comment, où et quand ils souhaitent rejoindre votre banque.

Et, pour les banques, où l’orientation client est primordiale, l’utilisation des canaux numériques apporte des solutions personnalisées et engageantes pour tous leurs clients bancaires. Le passage au numérique permet également de réduire les coûts et il est plus facile de mesurer l’efficacité. En fait, selon un récent rapport de eMarketer, l’importance d’accroître l’utilisation des canaux numériques par les institutions financières dépasse rapidement les autres objectifs commerciaux, avec une augmentation de 15 % d’une année sur l’autre en termes d’importance entre 2016 et 2017

L’importance de la protection des clients

Un récent sondage Echoworx montre que la plupart des clients prennent moins de 30 secondes pour évaluer la sécurité d’un courriel. Pourtant, seulement 40 % des entreprises qui disposent d’une technologie de cryptage l’utilisent pour protéger les données sensibles. Dans ces cas, un tiers des courriels qui devraient être cryptés sont envoyés de façon transparente.

Nos recherches montrent que 64 % des clients sont plus préoccupés par la protection de leur vie privée en ligne qu’il y a un an. Et 62 % estiment que leur activité Internet n’est pas privée. Étant donné le nombre d’atteintes à la protection des données au cours des derniers mois, ces chiffres ne devraient pas être une surprise.

Pourtant, les clients présument que votre entreprise protège leurs intérêts et leurs données. Vos clients doivent pouvoir avoir confiance que leurs informations sont en sécurité entre vos mains. L’enjeu est de taille : 80 % des clients envisagent de quitter votre entreprise après une atteinte à la sécurité des données.

Avantages numériques supplémentaires pour vos clients

La mise en place de canaux numériques et l’accélération de l’intégration apporteront également d’autres avantages aux institutions financières :

  • La réduction des points de contact à l’embarquement pour compléter l’embarquement plus rapidement et plus facilement. Les clients veulent terminer leur parcours d’intégration et d’application avec un minimum d’interactions avant de pouvoir accéder aux services.
  • Une intégration plus rapide signifie qu’il est moins probable que les nouveaux clients développent une impression négative à l’égard de leur institution financière.
  • La création rapide d’un contact pour fournir des produits et services. Les clients sont plus satisfaits lorsque la mise en place relationnelle est faite sans délai.

 

Une étude sur un cas écossais

Le défi de l’intégration numérique consiste à trouver le bon équilibre : le processus doit être facile à utiliser, mais la sécurité des documents doit être maintenue.

L’une des plus grandes banques écossaises nous a fait part de ce défi et les résultats ont été favorables.

Après la mise en œuvre de notre solution, tous leurs formulaires de demande de comptes, de prêts, d’hypothèques et de placements sont maintenant envoyés par courriel en format PDF sécurisé. Le client remplit ensuite les documents et les renvoie par courrier électronique, également en toute sécurité. Comme le processus est numérique et utilise un cryptage sécurisé, l’intégration peut se faire en quelques jours.

La banque estime qu’elle réduit de plus d’une semaine le délai nécessaire pour accueillir de nouveaux clients. De plus, ils ont considérablement réduit les frais postaux associés à l’ancien processus d’intégration. Tout le monde en profite : les clients trouvent l’expérience d’intégration facile à maîtriser, et la banque peut avoir confiance dans la sécurité et l’intégrité du processus.

La différence du système Echoworx

L’exemple de la banque écossaise mentionné ci-dessus n’est qu’un des moyens uniques par lesquels votre institution financière peut tirer parti de la puissance de notre plate-forme de cryptage OneWorld pour simplifier les processus de l’intégration de votre client. Grâce aux multiples méthodes de transmission et à la capacité d’envoyer des millions de documents sécurisés d’un simple clic de souris, en plus d’autres avantages, comme la possibilité de faire figurer votre marque sur vos communications protégées, OneWorld accélère votre intégration, réduit la confusion et maintient votre institution bancaire à l’abri aux yeux des autorités de réglementation.

Découvrez comment nous pouvons aider votre client dans son processus d’intégration.

Par Derek Christiansen, responsable de l’engagement, Echoworx

18 Déc 2018
Australia demands encryption backdoors

Préoccupations en Australie : les nouvelles portes dérobées de données controversées de l’Australie

De sérieuses menaces à notre droit à la vie privée sont faites en Australie – une nation traditionnellement connue pour son dévouement aux valeurs démocratiques du Commonwealth. En décembre 2018, l’Australie s’est dotée de nouvelles législatures qui permettent aux services de renseignement et de répression de l’État d’exiger l’accès aux données sensibles cryptées des entreprises ciblées.

Alors que d’autres gouvernements amis prennent note de cette nouvelle évolution, cette législature pourrait marquer le début d’une période difficile pour la protection de la vie privée numérique et la façon dont nous stockons et partageons les informations sensibles.

Mais d’abord, un peu plus de renseignements sur le contexte :

Depuis leur création, les membres de ce qu’on appelle les « Five Eyes », un groupe collectif d’organismes de renseignement et d’application de la loi provenant du Royaume-Uni, des États-Unis, du Canada, de la Nouvelle-Zélande et de l’Australie, militent depuis des années pour un meilleur accès à leurs citoyens. L’accès aux données privées des citoyens représentait une occasion unique non seulement de garder un œil sur ceux d’entre nous qui avaient des intentions malveillantes, mais aussi une autre occasion de contrôler et de gérer leur population.

Dans un passé récent, cela s’est manifesté par des moyens numériques – de la législature, comme la PATRIOT Act du gouvernement américain ou la plus récente Investigatory Powers Act du Royaume-Uni, à l’utilisation d’euphémismes dangereux, comme « Cryptage responsable ». Les données numériques sensibles sont un trésor pour les Five Eyes et ils sont en pleine effervescence depuis des années à l’idée d’y entrer.

Les portes dérobées restent des portes

En termes simples, la nouvelle loi sur la protection de la vie privée adoptée par le Parlement australien exige que les prestataires de services numériques tiers créent des portes dérobées par lesquelles les institutions publiques peuvent accéder aux informations cryptées de bout en bout quand on leur en demande. Bien qu’ils puissent présenter ces demandes officiellement à une entité, il convient de noter qu’ils ont maintenant le pouvoir d’exiger que les personnes des entreprises cibles, de Sally la PDG à Bill du service informatique, fournissent sur demande cet accès par des portes dérobées.

Et ces exigences ont beaucoup de mordant.

Si une organisation refuse une demande émanant d’un organisme gouvernemental australien, comme un organisme d’application de la loi, elle risque des millions de dollars d’amendes. Les personnes qui ne se conforment pas à la loi sont passibles d’une peine d’emprisonnement.

Ça a l’air effrayant ?

C’est encore plus grave.

Il y a un impact global de ces nouvelles législations sur la vie privée

En tant que membre des Five Eyes, l’Australie est un acteur majeur de la scène mondiale du renseignement. Non seulement ce pays et son assemblée législative aident à établir une partie considérable de ce qui est acceptable pour les agences gouvernementales de renseignement – mais ils ont aussi créé un dangereux précédent qui pourrait se propager à d’autres membres du collectif Five Eyes.

Le danger de se précipiter dans une urgence sans réfléchir.

Une des répercussions involontaires de la création de ces portes dérobées réside dans les nouvelles vulnérabilités potentielles qu’elles posent aux organismes gouvernementaux australiens qui les ont réclamées. Bien qu’ils prétendent avoir résolu d’importants problèmes de sécurité nationale grâce à leur nouvelle capacité d’espionner leurs propres citoyens, le gouvernement australien a paradoxalement introduit des failles dangereuses dans leurs propres systèmes qui peuvent être exploitées par des individus malveillants.

Que peut-on faire ?

Chez Echoworx, et dans toute la communauté de la cybersécurité, nous croyons fermement à la protection des données cryptées. Sans la capacité d’envoyer et de recevoir des données confidentielles par le biais de plateformes numériques, la vie privée de tout le monde est en danger et le pire, c’est que nous pourrions ouvrir les portes aux criminels que nous essayons d’arrêter.

Par Derek Christiansen, responsable de l’engagement, Echoworx

01 Déc 2018
Sécurité 101

GUIDE DE SÉCURITÉ DE BASE: UN THESAURUS 2018 POUR LA SÉCURITÉ DE L’INFORMATION

On accorde beaucoup d’importance à la sécurité des données dans le monde numérique d’aujourd’hui, et c’est vraiment le besoin du moment – vous trouverez ci-dessous des réponses à certains des sujets les plus pertinents en matière de sécurité informatique.

Slava Ivanov, Ingénieur logiciel éminent chez Echoworx avec ses années d’expérience progressives dans la fourniture de solutions de sécurité pour résoudre les défis d’affaires, couplé à sa connaissance approfondie des cycles de développement logiciel est engagé dans le développement d’un Thésaurus 2018 pour la sécurité de l’information.

 

DECEMBRE |

 

Q : EMBROUILLÉ AVEC INTERNET, LE DEEP WEB OU LE DARK WEB ?

R : L’Internet est constitué de ressources en ligne disponibles grâce aux moteurs de recherche, comme les sites Web que nous utilisons pour faire du shopping, faire des transactions bancaires ou entretenir des liens sociaux. Le Deep Web (web profond) est la partie d’Internet qui n’est pas indexé par les principaux moteurs de recherche. Pour visiter de tels sites, vous devez vous rendre directement à la ressource. Ce n’est pas nécessairement un outil malveillant, mais il est trop vaste pour être indexé. Le Dark Web est la partie du Deep Web qui n’est pas seulement non indexé, mais qui nécessite également un accès spécial. Le Dark Web est souvent basé sur des sous-réseaux supplémentaires, comme Tor ou Freenet et souvent associé à des activités criminelles.

Q : QU’EST-CE QUE L’AUTHENTIFICATION POSTÉRIEURE ?

R : Quand nous parlons de sécurité biométrique, nous faisons généralement référence à la reconnaissance faciale ou aux empreintes digitales – mais cette méthode d’authentification ne concerne que votre postérieur. Des chercheurs japonais ont mis au point un siège équipé de capteurs à 360° qui mesurent apparemment le creux de votre siège, c’est-à-dire « l’empreinte des fesses », ou la pression arrière. Les chercheurs affirment une précision de 98 % dans l’identification correcte d’une personne assise. Pas mal, non ? Cette méthode d’authentification pourrait avoir des applications dans des systèmes antivol performants pour nos voitures ou encore une autre méthode pour vous connecter à votre appareil quand vous êtes assis derrière votre bureau.

Q : QU’EST-CE QU’UN KEYLOGGER ?

R : Les keyloggers sont aussi connus sous le nom de « keystroke loggers » (enregistreurs de frappe). Il existe de nombreux types de keyloggers basés sur une variété de méthodes utilisant des enregistreurs de frappe, dont deux qui sont bien connus : les keyloggers logiciels et matériels. Les keyloggers matériels sont généralement installés entre un clavier et un périphérique. Comme ils fonctionnent entièrement sur du matériel, les logiciels de sécurité ne peuvent pas les détecter. Les keyloggers logiciels peuvent être intégrés dans des rootkits ou d’autres formes moins détectables. Bien que les programmes eux-mêmes soient légaux, bon nombre d’entre eux sont utilisés dans le but de voler des renseignements confidentiels. La détection de tout type de keylogger est une tâche difficile car ils sont conçus pour rester cachés.

 

NOVEMBRE |

 

Q : QU’EST-CE QUE L’INGÉNIERIE SOCIALE ?

R : L’ingénierie sociale est l’art de manipuler les gens pour qu’ils dévoilent des informations confidentielles. Même les systèmes les plus sécurisés qui ne peuvent être pénétrés par des moyens numériques ou cryptographiques peuvent être compromis par un simple appel téléphonique à un employé de la société ciblé et en se faisant passer pour un collègue ou un employé du service informatique. Certaines techniques d’ingénierie sociale bien connues incluent l’hameçonnage, le détournement de clic, l’hameçonnage par téléphone, et le baiting (appâtage). Il n’existe pas de solution miracle pour prévenir une attaque d’ingénierie sociale, mais la meilleure défense est la formation des utilisateurs et de les sensibiliser à la sécurité.

Q : VULNÉRABILITÉ VS EXPLOIT : QUELLE EST LA DIFFÉRENCE ?

R : Une vulnérabilité de sécurité est une faille de sécurité involontaire d’un logiciel ou d’un système qui le laisse ouvert à une exploitation potentielle, comme un accès non autorisé ou un autre comportement malveillant, comme des virus, vers et autres programmes malveillants. Le terme « exploit » est un autre terme pour désigner une vulnérabilité de sécurité, cependant il désigne un problème de sécurité en cours, et non pas un problème potentiel. Par exemple, une serrure endommagée sur la porte de votre chalet serait une vulnérabilité qui doit être corrigée le plus rapidement possible. Mais une serrure de porte endommagée dans une grande ville serait un exemple d’exploit – il pourrait y avoir des gens dans les environs, qui exploitent activement cette vulnérabilité connue.

Q : QU’EST-CE QU’UN PENTEST (TEST D’INTRUSION) ?

R : Un Pentest est une forme abrégée pour un test d’intrusion. Il s’agit d’un exercice de sécurité où un expert de confiance en cybersécurité va tenter de trouver les vulnérabilités d’un système avant que les intrus malveillants puissent les exploiter. Pour produire un rapport de test d’intrusion, le système est ciblé par des attaques simulées : force brute, injections SQL, etc. Les résultats sont ensuite partagés avec l’équipe de sécurité de l’entreprise ciblée pour la mise en œuvre des correctifs de sécurité et des correctifs ultérieurs. Afin d’assurer la sécurité du système, le test d’intrusion doit être effectué régulièrement, surtout lorsque de nouvelles technologies sont ajoutées.

Q : QU’EST-CE QUE LA CIA A À VOIR AVEC LA CYBERSÉCURITÉ ?

Dans le monde de la sécurité informatique, le trio d’acronyme CIA signifie confidentialité, intégrité, disponibilité – à ne pas confondre avec l’Agence centrale de renseignement américaine. La confidentialité – pour assurer la sécurité des données sensibles ; le cryptage est une solution fiable pour garantir la confidentialité. L’Intégrité – dans la conservation de l’intégrité des données ; les hachages cryptographiques et la signature numérique sont utilisés pour vérifier que les informations n’ont pas été altérées. Disponibilité – maintenir l’accessibilité des données ; la planification stratégique et l’allocation des ressources dans le but d’assurer la disponibilité des services et des applications 24 heures sur 24, 7 jours sur 7, y compris les plans de sauvegarde, la récupération des données, ainsi que la capacité à évoluer des services.

 

OCTOBRE |

 

Q: QU’EST-CE QU’UN BOTNET ?

R : Le mot « Botnet » est une combinaison des mots robot et réseau. Le botnet est considéré comme un groupe d’appareils connectés à Internet – tel que les IoT et appareils mobiles, ordinateurs, réseaux – infectés par un logiciel malveillant. Chaque dispositif compromis est appelé « bot » et peut être contrôlé à distance par l’émetteur d’un botnet, connu sous le nom de « bot master ». Les botnets sont de plus en plus souvent proposés en location par des cybercriminels comme marchandises et utilisés couramment dans les attaques DDoS. Les botnets sont capables de tirer profit de la puissance collective des ordinateurs, pour envoyer de gros volumes de spam, voler des informations d’identification en masse ou espionner des personnes ou des entreprises.

Q : LE CRYPTOJACKING EST-T-IL LA NOUVELLE MENACE AMBIANTE ?

R : Le cryptojacking est l’utilisation non autorisée de l’ordinateur d’une victime pour miner de la crypto-monnaie. Selon un récent rapport de sécurité de Symantec, le cryptojacking est apparu de nulle part et a explosé comme rien auparavant. Les pirates informatiques considèrent qu’il s’agit d’un moyen simple et peu coûteux de gagner plus d’argent avec moins de risques. Contrairement à d’autres types de logiciels malveillants, le cryptojacking n’endommage pas les données de la victime ou son ordinateur. Mais, puisqu’ils utilisent les ressources en matière de traitement du processeur, la victime devra faire face à des coûts liés à la réduction de la durée de vie de l’appareil, à une consommation d’énergie accrue et à des problèmes de performance globale.

Q : QU’EST-CE QU’UN LOGICIEL ESPION ?

R : Un logiciel espion est un type de logiciel malveillant qui est installé sur votre ordinateur, souvent à votre insu. Il est conçu pour surveiller vos activités informatiques et pour recueillir et transmettre les données à des entreprises à des fins de marketing. La collecte de données comprend en général vos informations personnelles telles que votre nom, adresse, habitudes en matière de navigation Internet, préférences, intérêts ou téléchargements. En plus d’être une atteinte à la vie privée, ce logiciel peut causer de sérieux problèmes en termes de niveau des performances du système.

Q : QU’EST-CE QUE L’ATTAQUE DES ANNIVERSAIRES ?

R : L’attaque des anniversaire est un type d’attaque brutale basée sur le paradoxe de l’anniversaire, qui affirme que sur 253 personnes dans une pièce, il y a 50 % de chances que quelqu’un ait votre date de naissance ; cependant, seulement 23 personnes doivent être dans la pièce pour obtenir 50 % de chances que deux personnes partagent le même anniversaire. C’est parce que les concordances sont basés sur des paires. Ce phénomène statistique s’applique également à la recherche de collisions dans les algorithmes de hachage car il est beaucoup plus difficile de trouver quelque chose qui entre en collision avec un hachage donné que de trouver deux entrées qui ont la même valeur de hachage.

Q : QUELLE EST LA POLITIQUE D’ORIGINE COMMUNE ?

R : En informatique, « Same-Origin Policy » Politique d’origine commune est le mécanisme de défense basé sur le navigateur qui garantit que certaines conditions doivent être remplies avant que le contenu (généralement JavaScript) ne soit exécuté lorsqu’il est servi depuis une application Web donnée. En vertu de la politique, le navigateur permet à un script de page Web d’accéder aux données d’une autre page Web uniquement lorsqu’elles ont la même origine, c’est-à-dire lorsque l’origine est une combinaison du protocole, du domaine et du port des ressources Web.

 

SEPTEMBRE |

 

Q : LES PROJETS OPEN SOURCE SONT-ILS PLUS SÛRS QUE LES PROJETS PROPRIÉTAIRES ?

R : Une fausse idée répandue est que les projets open source sont plus sûrs, soit parce que n’importe qui peut en vérifier le code source, soit parce que les observateurs sont si nombreux à le scruter. Et inversement, un produit commercial d’une entreprise bien connue est plus sûr parce que tout le monde lui fait confiance. La sécurité du projet dépend d’une combinaison de nombreux facteurs, notamment le nombre de développeurs qui y travaillent, leurs antécédents, le contrôle de la qualité du projet, etc. Il y a de nombreux exemples d’applications affreusement peu sûres qui proviennent des deux camps.

Q : QU’EST-CE QUE LA FALSIFICATION DES DEMANDES INTERSITES (Cross-Site Request Forgery) ?

R : Le Cross-Site Request Forgery (CSRF) est un genre d’attaque sur un site Web où un intrus se camoufle comme un utilisateur légitime et de confiance. Par exemple, une balise image d’une page Web peut être compromise et pointer vers une URL liée à une action ; lorsque l’utilisateur charge cette page, le navigateur exécute cette action et l’utilisateur peut ne pas être conscient qu’une telle attaque a eu lieu. L’attaque peut être utilisée pour changer les paramètres du pare-feu, afficher des données non autorisées sur un forum ou effectuer des transactions financières frauduleuses.

Q : POURQUOI MON IDENTIFIANT PKI COMPREND-IL DEUX CLÉS ?

R : La combinaison de clés publiques et privées est une paire de clés asymétriques qui exécutent les fonctions de cryptage/décryptage lors d’une transmission de données sécurisée. La clé publique est donc publique et accessible à tous. D’autre part, la clé privée doit rester confidentielle pour son propriétaire respectif. Lors du cryptage des données, la clé publique du destinataire est utilisée – et seul ce destinataire sera en mesure de les décrypter. Lors de la signature, la clé privée est employée pour confirmer l’identité de l’expéditeur.

Q : QU’EST-CE QUE LA FALSIFICATION DE REQUÊTE INTERSITES (CRSF) ?

R : La falsification de requête intersites (cross-site request forgery) (CSRF) est le type d’attaque sur un site Web où un pirate se fait passer pour un utilisateur légitime et fiable. Par exemple, une balise image d’une page Web peut être compromise et pointer vers une URL associée à une action ; lorsque l’utilisateur charge cette page, le navigateur exécute cette action et l’utilisateur peut ne pas être conscient qu’une telle attaque a eu lieu. L’attaque peut être utilisée pour modifier les paramètres du pare-feu, afficher des données non autorisées sur un forum ou procéder à des transactions financières frauduleuses.

Q : EST-CE QUE LES PROJETS OPEN SOURCE SONT PLUS SÉCURISÉS QUE LES PROJETS PROPRIÉTAIRES ?

R : On pense souvent à tort que les projets open source sont plus sûrs, soit parce que n’importe qui peut vérifier le code source, soit parce que de nombreux utilisateurs l’observent. Et inversement, un produit commercial d’une entreprise bien connue est plus sûr parce que tout le monde leur accorde sa confiance. La sécurité du projet dépend d’une combinaison de nombreux facteurs, notamment le nombre de développeurs qui y travaillent, leurs qualifications, le contrôle de la qualité du projet, etc. Il y a de nombreux exemples d’applications effroyablement insécurisées qui proviennent des deux camps.

Q : S’AGIT-IL D’UNE ATTAQUE « DOS » OU « DDOS » ?

R : Une attaque par déni de service (DoS) est un type de cyberattaque conçu pour rendre un ordinateur ou un réseau inaccessible à ses utilisateurs en perturbant les services d’un hébergeur. Cela se fait généralement en inondant le serveur d’un nombre incalculable de paquets pour en saturer la capacité, ce qui entraîne un déni de service ou un dépassement de mémoire tampon qui peut faire consommer de l’espace disque, de la mémoire, ou le temps de traitement du processeur du serveur. Une attaque par déni de service distribué (DDoS) est similaire à une attaque par déni de service (DoS), mais le trafic est généré par différentes sources, ce qui rend impossible sa prévention en bloquant simplement une source unique d’attaque.

 

AOÛT |

 

Q : J’UTILISE GOOGLE CHROME, ET VOUS ?

R : De nos jours, il y a beaucoup de navigateurs à votre disposition : Chrome, avec son moteur de recherche Google intégré ; Edge, avec sa capacité à prendre des notes directement sur la page ; Firefox, avec son option pour continuer à lire les pages où vous étiez dans un autre appareil ; Safari, parfaitement adapté aux appareils mobiles. Quels que soient vos critères de sélection pour choisir votre navigateur Internet, le plus important est de le maintenir à jour avec tous les correctifs et mises à jour de sécurité. Profitez d’une navigation sur Internet en toute sécurité.

Q : QU’EST-CE QU’UN CERTIFICAT NUMÉRIQUE?

R : Dans le secteur de la cryptographie, un certificat numérique est une forme électronique d’identification, tout comme votre passeport ou votre permis de conduire. Il fournit des informations sur votre identité et est établi par une autorité de certification (AC) pour une période de temps spécifique. L’AC assure la validité des informations contenues dans le certificat. Le format le plus courant pour les certificats numériques est défini par la norme X.509. Il y a une variété de domaines où les certificats sont utilisés : SSL/TLS, S/MIME, signature de code, etc.

Q : QUEL EST LE GOÛT DES COOKIES INFORMATIQUES?

R : Un cookie est un petit fichier provenant d’un site web qui est sauvegardé dans votre ordinateur par le navigateur web. La partie savoureuse du cookie est qu’il peut stocker, par exemple, les informations de connexion, le code postal, etc. de sorte que vous n’avez pas besoin de le taper à plusieurs reprises. La partie amère, c’est qu’il peut suivre vos habitudes et être utilisé par les réseaux publicitaires. La saveur désagréable survient lorsqu’un cookie contenant des informations sensibles est intercepté par un pirate informatique. Débarrassez-vous régulièrement des cookies, gardez votre logiciel antivirus à jour et visitez les sites web auxquels vous faites confiance – et profitez ainsi de la saveur des cookies !

Q: QUE SIGNIFIE SSO?

A: SSO est l’acronyme de Single Sign-On (authentification unique). Avec l’authentification unique, l’utilisateur peut s’authentifier une seule fois, puis utiliser plusieurs systèmes ou applications sans avoir à entrer à nouveau ses identifiants. Sans aucune SSO, les utilisateurs doivent retenir un nom d’utilisateur et un mot de passe différents (identifiants différents) pour chaque système utilisé. Cela conduit l’utilisateur à utiliser des mots de passe courts, simples ou similaires pour chaque ressource. Pour réduire la contrainte liée aux mots de passe, le temps nécessaire pour saisir à nouveau les informations d’identité, les demandes de « mot de passe oublié », etc. de nombreuses entreprises mettent en œuvre l’authentification unique.

Q: QU’EST-CE QUE S/MIME?

A: S/MIME (Extensions de messagerie Internet polyvalentes sécurisées) est la norme pour sécuriser les messages MIME. Elle fait passer la communication SMTP à un niveau supérieur en permettant l’utilisation d’un protocole de messagerie largement supporté sans compromettre la sécurité. Elle utilise l’infrastructure à clé publique (PKI) pour chiffrer et/ou signer les données. S/MIME apporte les avantages du service cryptographique au courrier électronique : confidentialité et intégrité des données avec cryptage des messages ; authentification et non-répudiation avec signature numérique.

 

JUILLET|

 

Q: QU’EST-CE QUE MIME?

A: MIME (Multipurpose Internet Mail Extensions) est la norme Internet qui définit la manière dont un message doit être formaté pour être transféré entre différents systèmes de messagerie. MIME est un format très souple qui permet d’inclure presque tous les types de données telles que le texte, les images, l’audio, les applications, etc. Avec un encodage approprié, MIME est également capable de gérer les messages écrits dans les différentes langues internationales. MIME est conçu pour les communications SMTP, mais de nombreuses définitions de la norme sont largement utilisées dans les protocoles de communication WWW.

Q:QU’EST-CE QUE LE TABNABBING?

R:Le Tabnabbing, également connu sous le nom de Tabjacking, est une attaque par hameçonnage qui utilise l’inattention d’un utilisateur pour ouvrir plusieurs onglets de navigateur afin de voler les informations sensibles de l’utilisateur. Par exemple, vous avez ouvert la page touchée par cette attaque avec d’autres onglets du navigateur. Si le script de l’onglet malveillant détecte une inactivité, la page Web sera alors rechargée et affichera, par exemple, une fausse page de connexion de Gmail à la place. En raison d’un manque d’attention aux onglets ouverts, l’utilisateur peut entrer les informations d’identification demandées et elles seront volées par les cybercriminels.

Q: COMMENT UN VPN PEUT-IL AMELIORER LA PROTECTION DE MA VIE PRIVEÉ ET MA SECURITÉ?

R: Un VPN (Virtual Private Network) permet d’étendre un réseau privé   (ex: réseau d’entreprise) sur un réseau public (ex. : Internet) et permet aux utilisateurs d’accéder aux ressources du réseau privé comme s’ils étaient directement connectés à ce réseau privé. Un VPN utilise une technologie de cryptage pour crypter le trafic réseau, ainsi, si un pirate détecte les paquets, il ne reçoit que des données cryptées. Il identifie la modification des données transmises et les rend intacts. Un VPN utilise l’authentification pour empêcher l’accès non autorisé aux ressources.

Q: EST-CE QUE LE « PHARMING » EST UN AUTRE MOT DE PLUS AVEC UNE ERREUR?

R: Le pharming est un type avancé de cybercriminalité, qui ressemble à l’hameçonnage, qui combine les sens des mots « Phishing » et « Farming ». La principale motivation du pharming est d’obtenir des noms d’utilisateur et des mots de passe auprès de détaillants ou de banques en ligne, sans avoir besoin de vous hameçonner avec des courriels ou des liens malveillants. Vous allez sur une ressource Web bien connue, comme toujours, mais vous vous retrouvez sur le système du pirate informatique – qui a été modifié pour ressembler à un site Web légitime. L’une des techniques utilisées dans une attaque de pharming est le piratage des services DNS sur un système informatique par un code malveillant désigné sous le nom d’Empoisonnement du cache DNS.

 

JUIN |

 

Q: COMMENT ÊTRE EN SÉCURITÉ EN FAISANT DES PAIEMENTS EN LIGNE?

R: Il y a quelques points à considérer lorsque vous faites des achats en ligne : 1. Assurez-vous que le site Web de vente en ligne utilise une connexion SSL et que l’entreprise est digne de confiance. 2. Toujours préférer les transactions par carte de crédit à celles par débit. 3. N’effectuez pas de paiements lorsque vous êtes connecté à un réseau Wi-Fi public. 4. Pensez à refuser de mémoriser les données de votre carte de crédit sur le site Web d’un vendeur – même si vous l’utilisez souvent. 5. Ne saisissez jamais votre code PIN ou le mot de passe de votre banque lorsque vous effectuez une transaction. Le dernier mot : Vérifiez votre relevé de carte de crédit régulièrement, inscrivez-vous pour les notifications de transaction, si possible, et soyez en sécurité.

Q : COMMENT ÊTRE EN SÉCURITÉ SUR LES WI-FI STARBUCKS?

R: Pour être en sécurité lorsque vous utilisez un réseau Wi-Fi public, utilisez uniquement une connexion sécurisée (SSL) sur des sites Web fiables. Évitez d’utiliser des noms d’utilisateur et des mots de passe personnels, même si c’est pour vérifier votre courrier électronique, car les pirates peuvent surveiller les réseaux Wi-Fi non protégés et vos informations peuvent être volées. Désactivez les options Partage de fichiers et AirDrop et vérifiez que le pare-feu de votre ordinateur portable est activé. Pour une protection encore meilleure, sécurisez et chiffrez votre connexion en utilisant un réseau privé virtuel (VPN) – un tunnel numérique sécurisé vers votre périphérique.

Q: QU’EST-CE QUE l’IDO DE TOUTE FAÇON?

R: L’Internet des Objets (IoT) est un écosystème d’appareils connectés capables de communiquer avec nous, et entre eux, sur Internet. Un thermostat intelligent, contrôlable à partir de nos téléphones et tablettes, par exemple, est un appareil bien connu connecté à l’IoT. De nos jours, tout est « intelligent », des simples capteurs et actionneurs aux réfrigérateurs et voitures. L’avenir de l’IoT est très passionnant et va révolutionner notre façon de vivre, en rendant des villes et des pays entiers plus intelligents et plus efficaces. C’est vraiment un âge d’or pour les appareils IoT.

Q:COMMENT EST-CE QUE LE BLOWFISH ÉVOLUE DANS LE DOMAINE DE LA CRYPTOGRAPHIE?

R: Le Blowfish est un algorithme de cryptage symétrique conçu par Bruce Schneier en 1993 pour remplacer les anciens algorithmes DES et IDEA. Il a une taille de bloc de 64 bits et utilise une clé à longueur variable, de 32 bits à 448 bits, ce qui convient à la fois à l’usage local et à l’exportation. Blowfish cherche à rendre difficile une attaque par force brute en rendant l’installation de la clé initiale assez lente. Cet algorithme n’est pas breveté, sans licences, et est disponible gratuitement pour tout le monde. Blowfish ne devrait pas être utilisé pour les gros fichiers en raison de la petite taille des blocs (64 bits par opposition à la taille des blocs de 128 bits de l’AES).

 

MAI |

 

Q: BLUEJACKING, BLUESNARFING ET BLUEBUGGING EST-CE DE NOUVELLES NUANCES DE BLEU?

R: Le bluejacking, la première attaque bluetooth, est l’envoi de messages non sollicités vers des périphériques dont le bluetooth est activé. Le bluejacking n’est pas très méchant et se limite généralement à envoyer des messages texte, des images ou des sons à un périphérique ciblé. Le bluesnarfing est plus méchant et cible les informations confidentielles de l’utilisateur – avec un attaquant qui se connecte à un périphérique bluetooth, à l’insu du propriétaire, et télécharge son répertoire, son calendrier et plus encore. Le bluebugging va plus loin – c’est une prise de contrôle virtuelle complète du périphérique. Une fois connecté, un attaquant peut accéder à vos contacts, passer et écouter des appels, lire vos messages et e-mails et même suivre votre position, à votre insu.

Q: SAML OU OAUTH?

R: SAML (langage de balisage d’assertion de sécurité) est généralement utilisé lorsque la solution nécessite une gestion centralisée des identités ; implique SSO avec au moins un participant d’entreprise ; donne accès à une application. OAuth (autorisation ouverte) est généralement utilisé lorsqu’une solution fournit un accès à des ressources, comme des comptes, des fichiers, etc . ; ou implique des périphériques mobiles. Les deux technologies peuvent être utilisées en même temps. Par exemple : SAML pour l’authentification ; une fois le jeton SAML traité, utilisez-le comme jeton de support OAuth pour accéder aux ressources protégées via HTTP.

Q: QUELS SONT LES TYPES DE BIOMÉTRIE?

R: Il y a deux principaux types de biométrie : La biométrie physiologique est quelque chose lié à ce que nous sommes, y compris les tailles spécifiques, les dimensions et les caractéristiques de notre corps. Votre visage, vos yeux, vos veines ou vos empreintes digitales sont un exemple de données biométriques physiologiques. Ce que nous faisons c’est de la biométrie comportementale qui est liée à nos habitudes personnelles et à nos mouvements uniques. Votre voix, vos gestes, votre façon de marcher et votre signature manuscrite sont l’exemple le plus simple de ce type.

Q: EST-IL POSSIBLE D’ARRÊTER LE VOL D’IDENTITÉ?

R: Il est presque impossible d’empêcher complètement le vol d’identité, mais il est possible de réduire le risque en suivant quelques conseils simples : 1. Faites attention à vos paramètres de confidentialité sur les médias sociaux. 2. Utilisez des mots de passe forts et différents lors de la création de comptes en ligne. 3. Ne consultez pas les e-mails suspects qui peuvent être un hameçonnage pour les données. 4. Ne fournissez aucune information à des sites Web n’utilisant pas de connexion SSL. 5. Protégez votre PC en utilisant un logiciel de protection pare-feu, antivirus et anti-espion, et à jour.

 

AVRIL |

 

Q: POURQUOI UTILISER SAML ?

R: Le langage SAML (Security Assertion Markup Language) est une norme ouverte qui représente un cadre XML pour le partage d’informations de sécurité sur l’identité, l’authentification et l’autorisation entre différents systèmes. SAML élimine la nécessité de disposer de plusieurs mots de passe d’applications et de services en permettant un échange d’authentification basé sur des jetons. Il résout le défi clé en activant la fonctionnalité d’authentification unique (SSO). SAML permet de gagner du temps sur le plan administratif et d’accroître la sécurité grâce à un contrôle centralisé de l’authentification et de l’accès.

Q: QU’EST-CE QUE LA CONFORMITÉ PCI ?

A: Le PCI est un acronyme pour Payment Card Industry et est souvent suivi des lettres DSS pour Data Security Standard. Les entreprises conformes à la norme PCI doivent respecter les règles définies par le PCI Security Standards Council. Certains d’entre eux sont : Maintenir une politique de sécurité de l’information ; surveiller et maintenir un réseau sécurisé ; mettre en œuvre des contrôles d’accès rigoureux ; protéger les renseignements de nature délicate. Les clients de ces entreprises doivent se sentir en sécurité et confiants que leurs données seront protégées.

Q:QU’EST-CE QUE LE VOL D’IDENTITÉ?

R: Le vol d’identité est un accès non désiré ou non autorisé à vos renseignements personnels. Une fois que quelqu’un s’empare de vos données personnelles, il peut commettre toutes sortes de crimes en les utilisant, y compris la fraude dans les télécommunications, le blanchiment d’argent, les cybercrimes, et plus encore. Les criminels utilisent des renseignements apparemment inoffensifs, comme votre date de naissance, pour avoir accès à d’autres renseignements à votre sujet, y compris votre adresse, votre courriel, votre lieu de naissance, vos numéros d’assurance et vos mots de passe. Prenez soin de protéger vos données en veillant à la protection de votre vie privée lorsque vous partagez des données sensibles.

Q: QU’EST-CE QUI EST LE STANDARD DE CRYPTAGE AVANCÉ (AES)?

R: L’Advanced Encryption Standard (AES) est un algorithme de cryptage par blocs à clé symétrique. AES est un sous-ensemble du cryptage Rijndael développé par deux cryptographes belges, Vincent Rijmen et Joan Daemen. AES est capable de gérer des blocs de 128 bits, en utilisant des clés de 128, 192 et 256 bits. La taille de la clé est illimitée, alors que la taille maximale du bloc est de 256 bits. AES est plus sûr et permet un cryptage plus rapide que ses prédécesseurs DES et 3DES. Globalement, AES s’est avéré être un cryptogramme fiable au fil du temps.

 

MARS |

 

Q: BLUETOOTH: LA FACILITÉ A UN PRIX?

R: Nous utilisons la technologie Bluetooth tous les jours pour connecter nos écouteurs, nos trackers de fitness, le système mains libres de la voiture, etc. Il est important de connaître les questions de sécurité associées à la technologie. Bluetooth envoie des données sans fil qui peuvent être interceptées par les mauvaises personnes. Pour protéger vos informations, pensez à régler vos appareils sur « indétectable » lorsqu’ils ne sont pas utilisés. N’acceptez jamais les demandes d’appariement de parties inconnues. Téléchargez et installez régulièrement des mises à jour de sécurité sur vos appareils.

Q: Y A-T-IL UNE ERREUR DANS LE MOT «PHISHING»?

R: Les arnaques d’hameçonnage imitent des entreprises comme les banques, les fournisseurs de services en ligne, les organisations légitimes et autorisées afin d’obtenir des informations sensibles comme les noms d’utilisateur, les mots de passe, les détails des cartes de crédit, etc. On le nomme Phishing en raison de la longue tradition des hackers d’utiliser « PH » au lieu de « F ». Faites attention à ne pas tomber dans les pièges mis en place par ces Phishermen et évitez de vous faire prendre dans le filet des Phish.

Q: QU’EST-CE QUE C’EST LE DIFFIE-HELLMAN KEY EXCHANGE?

R: Diffie-Hellman (DH) est un protocole d’échange de clés conçu à l’origine par Ralph Merkle. Il porte le nom de Whitfield Diffie et Martin Hellman – deux cryptographes. DH permet d’échanger en toute sécurité des clés cryptographiques sur un canal public sans rien partager au préalable. Une clé secrète partagée peut alors être utilisée pour crypter les communications consécutives. L’échange DH lui-même ne fournit pas d’authentification des parties et pourrait être vulnérable à l’attaque man-in-the-middle. Les variantes de DH avec authentification devraient être considérées.

Q: QU’EST-CE QUE LA NÉGOCIATION (HANDSHAKE) SSL?

A: La connexion SSL/TLS entre un client et un serveur commence par une négociation « handshake ». Cela comprend un certain nombre d’étapes – en commençant par la validation de l’identité de l’autre partie et se terminant par la génération d’une clé de session commune. Le client génère une clé symétrique, la crypte et la renvoie, puis le serveur décrypte cette clé de session à l’aide de sa clé privée. Le serveur et le client sont maintenant prêts à utiliser cette clé symétrique pour crypter et décrypter le transfert de données.

 

FÉVRIER |

 

Q: EST-CE QUE LA TECHNOLOGIE DE RECONNAISSANCE FACIALE PERMET UNIQUEMENT L’AUTHENTIFICATION?

R: La technologie de reconnaissance faciale nous aide déjà dans de nombreux domaines de notre vie, comme le contrôle de sécurité dans les aéroports, la vidéosurveillance de façon simple et amicale, les enquêtes sur les scènes de crime, etc. Examinons comment la technologie peut être utilisée pour adapter les approches marketing ? Il peut, par exemple, remplacer une carte de fidélité de magasin. Lorsque vous entrez dans le magasin, le personnel saura ce que vous avez acheté la dernière fois, vous fera des offres personnelles et échangera vos points. Le magasin lui-même peut adapter vos offres en analysant les données faciales, telles que le sexe, l’âge et l’origine ethnique. Les possibilités sont infinies.

Q: EST-CE QUE LE TLS UTILISE UN CRYPTAGE SYMÉTRIQUE OU ASYMÉTRIQUE?

R: Les deux. TLS utilise un algorithme de cryptage asymétrique uniquement pour établir une session client-serveur sécurisée. Pour le cryptage asymétrique, l’expéditeur a besoin d’une clé publique pour crypter les données et le destinataire a besoin d’une clé privée pour les décrypter. Le cryptage du volume de la charge utile exige de la vitesse, de sorte qu’un algorithme de cryptage symétrique est utilisé pour échanger des informations sur une session sécurisée établie. Pour le cryptage symétrique, l’expéditeur et le destinataire partagent une seule clé symétrique pour crypter et décrypter les données.

Q: «OK, GOOGLE» DOIS-JE ME FAIRE DU SOUCI AU SUJET DU RESPECT DE MA VIE PRIVÉE?

R: Les assistants vocaux, comme Google Home, Amazon Echo, etc., peuvent répondre à vos questions, fournir un rapport météo, monter le thermostat, contrôler les lumières ou même commander une pizza. Cette solution pratique a un prix. L’assistant est toujours à l’écoute. Envisagez d’utiliser le bouton « mic mute » pour l’éteindre lorsqu’il n’est pas nécessaire. N’importe qui peut contrôler votre appareil. Envisagez de ne pas connecter certains appareils IdO (Internet des objets) comme les serrures de porte intelligentes ; désactivez les options de paiement qui ne sont pas utilisées. Profitez de votre assistant numérique, mais n’en faites pas le maître de maison.

Q: QU’EST-CE QUE LE CAMOUFLAGE?

R: Le but du camouflage est d’empêcher quelqu’un de comprendre le contenu de quelque chose. Dans le développement de logiciels, il est souvent utilisé sur le code informatique pour rendre plus difficile l’altération, l’ingénierie inverse ou le vol de la fonctionnalité d’un produit. Il est important de comprendre que le camouflage n’est pas comme le cryptage, mais plutôt comme de l’encodage. Il peut être inversé en utilisant la même technique ou simplement comme un processus manuel qui prend du temps.

Q: QUELLES SONT LES MÉTHODES D’AUTHENTIFICATION?

R: Il existe trois grandes catégories d’authentification:

La connaissance est quelque chose que vous connaissez, par exemple un simple nom d’utilisateur et un mot de passe ;
La possession est quelque chose que vous avez, il peut s’agir d’une carte d’accès ou d’une télécommande ;
L’inhérence est quelque chose qui vous est propre, votre caractéristique biométrique, comme une empreinte digitale.

Parfois, votre localisation est considérée comme la 4e méthode. L’authentification multifactorielle augmente significativement la sécurité, mais aura évidemment un impact sur l’expérience utilisateur.

 

JANVIER |

 

Q: QU’EST-CE QUE L’ENCODAGE DES DONNÉES?

R: En informatique, l’encodage consiste à transformer les données originales dans un autre format afin qu’elles puissent être transférées et utilisées par différents systèmes. Par exemple, utiliser l’encodage binaire en texte Base64 pour les fichiers binaires pour les envoyer par courriel. L’encodage utilise des algorithmes accessibles au public et peut être facilement inversé (décodé). Le but principal de l’encodage n’est pas de garder l’information secrète, mais de s’assurer qu’elle est utilisée dans des conditions de sécurité et de façon appropriée.

Q: LA BIOMÉTRIE EST-ELLE LA SOLUTION PAR EXCELLENCE EN MATIÈRE D’AUTHENTIFICATION?

R: La biométrie est le terme technique qui fait référence aux mesures liées aux caractéristiques humaines, comme l’empreinte digitale, la voix, l’iris des yeux, etc. De nombreux produits de consommation ont adopté la biométrie pour l’authentification pour des raisons de commodité pour l’utilisateur, tandis que les produits d’entreprise choisissent de se retirer afin d’assurer une sécurité maximale des données. Le principal moyen d’authentification est la connaissance, comme un mot de passe ou un NIP (PIN). Les données biométriques n’ont jamais été conçues pour être le secret. Pouvez-vous vous imaginer porter des gants tout le temps ?

Q: EST-CE QUE LE FACE ID EST PLUS SÛR QUE LE TOUCH ID?

R: Apple affirme qu’il y a une chance sur un million que quelqu’un puisse débloquer votre appareil en utilisant Face ID comparé à 1 chance sur 50000 que quelqu’un ait la même empreinte digitale que vous. Est-ce que cela signifie que la sécurité de Face ID est 20 fois plus élevée ? Il est important de se rappeler que le Face ID et le Touch ID sont davantage une question de fonctionnalité et de design que de sécurité. Votre mot de passe (PIN) restera toujours le plus grand point faible de votre appareil. Donc, c’est mieux d’en faire un qui soit puissant.

Q: QU’EST-CE QUE LE «HEX»?

R: Les nombres hexadécimaux (hexadécimale ou base-16) sont largement utilisés en calcul et en mathématiques comme représentation de valeurs binaires. Chaque chiffre hexadécimal représente quatre bits ou un demi-octet. 16 symboles uniques 0-9 et A-F utilisés pour représenter une valeur.

Cette couleur pourpre porte le numéro hexadécimal #7334A4
#73(hexadécimal) est (7×16) + (3×1) = 115 (décimale) de bleu
#34(hexadécimal) est (3×16) + (4×1) = 52 (décimale) de vert
#A4 (hexadécimal) est (10×16) + (4×1) = 164 (décimale) de bleu
Dans l’espace RVB (RGB) notre couleur sera rvb (115, 52, 164) (115, 52, 164)

Il s’agit d’une version très résumée des nombreux termes et acronymes de sécurité utilisés de nos jours, mais nous espérons que cela vous aidera. Ne vous arrêtez pas maintenant. Renseignez-vous sur la façon dont vous pouvez utiliser le cryptage pour créer des communications fiables avec des livres blancs, des rapports, des webinaires et des vidéos.

RESSOURCES DE CRYPTAGE

27 Nov 2018
protecting your customers is more than just building a bigger firewall

Le monde est-il complètement chamboulé ? Confiance, paradoxe et cryptage numériques

Gagner la confiance d’un client est une récompense qui ne se gagne qu’après de nombreuses années d’attention à votre marque, de service irréprochable et de qualité de produit. Et un client en confiance est un client loyal sur lequel vous pouvez compter pour travailler avec vous en toutes circonstances, peu importe la situation.

N’est-ce pas ?

Pas tout à fait.

Lorsqu’il s’agit de gagner la confiance du public à l’égard du numérique, les méthodes traditionnelles peuvent être ébranlées rapidement. Curieusement, par opposition aux relations précieuses hors ligne que vous entretenez avec tant de soin, acquérir la confiance dans le numérique est un jeu d’enfant, où les utilisateurs sont plus susceptibles de partager avec vous plus de détails personnels plutôt qu’une personne dont ils se font la complice. En fait, selon une étude d’Echoworx, l’utilisateur moyen ne prend que 30 secondes pour évaluer la sécurité d’un courriel avant d’envoyer ses données les plus personnelles.

Ça a l’air sympa ? Ça l’est effectivement. Peut-être même un peu trop – puisque la facilité pour inciter les clients à faire confiance à votre marque en ligne s’accompagne d’une énorme responsabilité dont le prix est trop élevé pour les personnes non préparées au numérique. Et vous n’êtes qu’à une erreur de les perdre à jamais – avec 80 % des clients qui envisagent de quitter votre marque après une brèche au niveau de la sécurité.

Donc, étant donné que votre organisation investit tant d’argent et de temps à bâtir son image de marque, pourquoi prendre le risque de ne pas protéger de façon adéquate les données sensibles pour éviter que tout ne s’écroule ? C’est là que les investissements préventifs dans l’infrastructure de cyber sécurité commencent soudainement à prendre tout leur sens – dans le sens organisationnel du terme.

Dans le passé, la cybersécurité était généralement perçue comme une question relevant davantage de la sphère interne. En termes simples, le mantra était le suivant : si vous empêchez les méchants d’entrer, l’argent reste à la banque. Mais, compte tenu de la perspective actuelle, centrée sur la clientèle, sur la façon de fournir des services numériques et des menaces réelles que représentent les attaques ransomware, cette conception a évolué vers un problème organisationnel – une crise touchant les marques.

Dans ce cas, comment éviter de perdre vos clients ?

Facile : Il faut les protéger.

Et protéger vos clients, c’est bien plus que mettre en place un pare-feu plus important. Vous devez également tenir compte des données sensibles qui sortent de votre parc informatique cloisonné. Alors que le cryptage est un moyen efficace de sécuriser vos communications, les solutions peu pratiques font passer vos messages pour du spam – au détriment de l’utilisateur final ou du client, ce qui va à l’encontre du but recherché.

Les messages cryptés sécurisés doivent avoir un aspect authentique et être flexibles pour répondre aux besoins de votre clientèle. L’image de marque, les langues et tout autre détail propre à chaque entreprise devraient être personnalisables de manière à ne pas affecter l’expérience utilisateur. Cela permet non seulement d’éliminer la confusion (quelque chose qui plaît aux fraudeurs), mais c’est aussi simplement un bon service pour les clients.

Vous devez également envisager d’offrir plusieurs méthodes de transmission pour répondre aux différents besoins des clients. Par exemple, vous souhaitez parfois crypter un document, pas un message entier. Vous pouvez rechercher une méthode de transmission qui permet le cryptage des pièces jointes uniquement.

Plus vos messages cryptés reproduisent l’aspect et la convivialité de vos communications régulières, sans sacrifier l’expérience utilisateur, vos clients accorderont davantage leur confiance aux interactions en lignes avec vous. Et plus vous les protégez, moins vous risquez de subir une intrusion catastrophique. C’est ainsi qu’investir dans la confidentialité des données est non seulement bon pour protéger votre infrastructure organisationnelle, mais aussi pour votre entreprise, votre marque et tout simplement pour un bon service client.

Par Lorena Magee, vice-présidente du marketing chez Echoworx

27 Nov 2018
TLS encrypted delivery

Est-ce que le TLS est une solution adéquate pour les courriels sécurisés ?

Lorsqu’il s’agit de recueillir des données sensibles des clients, vous ne pouvez tout simplement pas vous permettre de prendre le moindre risque. Vos clients vous font confiance et vous devez les protéger, ainsi que leurs données les plus personnelles. Mais, bien qu’il soit important de protéger votre périmètre numérique, votre entreprise doit également s’assurer que les données sensibles restent sécurisées pendant le transport.

Une des méthodes pour y parvenir est d’utiliser une solution de cryptage TLS. Mais qu’est-ce que le TLS exactement ? Comment fonctionne-t-elle ? Et quand est-ce que c’est assez bon pour les courriels sécurisés ?

Voici ce que vous devez savoir sur le TLS :

Qu’est-ce que TLS ?

En termes plus simples, TLS (Transport Layer Security) est une méthode de cryptage de la connexion entre deux parties communiquant sur Internet – pensez à un tunnel crypté. TLS peut être appliqué au courrier électronique pour éviter que des yeux indiscrets puissent voir les messages en cours de transmission – ou accéder aux données transmises entre un utilisateur et un site Web. La facilité de ce type de cryptage des messages en fait l’un des modes de transmission les plus populaires.

Quand faut-il accroître la sécurité des messages ?

Le TLS est l’une des méthodes les plus simples et les plus simples pour transmettre des messages sécurisés. Mais est-il assez sûr ? Cela dépend – à vous de nous le dire.

Avez-vous accès à d’autres méthodes de cryptage si une connexion TLS n’est pas disponible ? Quels sont exactement vos besoins en matière de sécurité ? Vous vous méfiez des sociétés tierces, comme Google via Gmail, qui scannent votre correspondance ? Êtes-vous préoccupé par les Attaques de l’homme du milieu « man-in-the-middle », où une connexion sécurisée est compromise ? Ce ne sont là que quelques-unes des questions auxquelles vous devez répondre pour déterminer si le TLS est suffisamment sécurisé pour vous.

Que faire pour renforcer la sécurité des messages ?

Bien que les messages standards avec un cryptage TLS aient leurs avantages, cette méthode de transfert ne répond pas toujours aux besoins de chacun de vos clients. C’est pourquoi Echoworx OneWorld va plus loin en offrant automatiquement un plus grand nombre de méthodes de cryptage de la transmission. OneWorld offre également de la flexibilité au sein de l’environnement TLS – avec la possibilité de créer des politiques spécifiques pour l’utilisation de TLS et des pieds de page de courriel de marque signalant que le message a été transmis de façon sécurisée.

Existe-t-il des alternatives sécurisées au TLS ?

Dans les cas où TLS n’est pas une option souhaitable, vous devez disposer d’autres options – pour vous assurer qu’aucun message n’est envoyé sans cryptage ou dans un environnement compromis. Par ailleurs, il existe une variété d’autres options de transmission sécurisée, allant des méthodes de cryptage à clé publique, comme S/MIME et PGP, aux portails Web protégés.

La plateforme de cryptage OneWorld d’Echoworx offre toutes ces options, ainsi que des pièces jointes cryptées. Et comme OneWorld vérifie si le TLS est disponible avant le transfert, les messages sensibles ne sont jamais envoyés non cryptés.

Consultez plus de méthodes de transmission de messages sécurisés.

Par Christian Peel, VP Ingénierie, Echoworx

15 Nov 2018
Get ready for PIPEDA

ÊTES-VOUS PRÊT POUR LA LOI CANADIENNE SUR LA DÉCLARATION OBLIGATOIRE DES ATTEINTES À LA SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS?

Avec l’introduction de nouvelles règles en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) (en anglais : PIPEDA) du Canada, faire des excuses pour une fuite de données est désormais insuffisant. À compter de novembre 2018, toutes les atteintes à la protection des données concernant des données canadiennes de nature personnelle devront être signalées et les parties concernées devront en être avisées.

Mais à qui la LPRPDE (PIPEDA) s’applique-t-elle ?

La LPRPDE est la loi fédérale canadienne sur la protection des renseignements personnels pour les organisations du secteur privé. Autrement dit, cette loi s’applique à tous les renseignements personnels recueillis, utilisés ou divulgués dans le cadre d’activités commerciales lorsque vous faites affaire avec le Canada. En vertu des nouvelles règles sur les atteintes à la protection des données, si l’une ou l’autre de ces données personnelles fait l’objet d’une fuite, un rapport doit être déposé auprès du Commissariat à la protection de la vie privée du Canada, un dossier décrivant cette atteinte doit être rédigé et toute personne concernée doit être avisée que leurs données ont été compromises.

Dans la lignée de l’Europe en matière de protection de la vie privée

Les mises à jour avec la LPRPDE font suite au GDPR de l’Union européenne, qui a été lancé en mai dernier. Bien que les pratiques canadiennes actuelles en matière de protection de la vie privée répondent aux exigences actuelles du GDPR, ces règles supplémentaires représentent une garantie proactive à mesure que les règles européennes continueront à se durcir au cours des prochaines années. Ils sont également conçus pour aider les entreprises canadiennes à maintenir leur compétitivité en Europe – et pour éviter des amendes considérables.

Et ces nouveaux changements à la LPRPDE ne sont pas sans conséquence !

En plus des préjudices causés à la marque et des poursuites possibles, les infractions à la LPRPDE sont maintenant passibles d’amendes pouvant atteindre 100 000 $. Bien qu’elles ne soient pas aussi élevées que les amendes écrasantes de plusieurs millions de dollars imposées par le GDPR, les pénalités sont suffisamment élevées pour faire respecter la loi.

Alors, comment faire pour rester en conformité ?

Une protection adéquate des données personnelles sensibles est plus facile à dire qu’à faire– nécessitant souvent une approche pluridimensionnelle. Afin de vous conformer aux nouvelles règles de la LPRPDE, vous devez prendre des mesures proactives pour aider à prévenir une atteinte à la vie privée – cela comprend la protection des données qui quittent votre système. De plus, le cryptage des données sensibles est un indicateur clé qui démontre que l’information a été adéquatement protégée en vertu de toute réglementation ou loi sur la protection de la vie privée.

Voici 10 façons de sécuriser les données sensibles en cours de transmission.

Alex Loo, vice-président des opérations chez Echoworx

12 Nov 2018
Encryption shouldnt be cryptic

LE CRYPTAGE NE DEVRAIT PAS ÊTRE UNE EXPÉRIENCE ÉNIGMATIQUE !

Cryptage, cryptage, et encore plus de cryptage – le mot à la mode dans le domaine de la sécurité dans la bouche de tout un chacun. Dans un paysage numérique de plus en plus périlleux, la protection de vos données par des algorithmes totalement sécurisés semble être une stratégie logique, n’est-ce pas ?

Exactement.

Mais prendre la décision de crypter les courriels confidentiels qui quittent votre réseau sécurisé, c’est bien plus que de simplement crypter les données.  Les algorithmes ne font pas la différence lorsqu’il s’agit de comparer différentes solutions de messagerie sécurisée.  Vous pouvez trouver le protocole de cryptage 2048 bits RSA, 256 bits AES, dans les signatures SHA2 de presque tous les produits de sécurité modernes.

Le composant de la technologie qui effectue le cryptage et le décryptage est (la plupart du temps au moins) solide et prévisible.  Mais au-dessus de cette sécurité de base se trouve le sujet le plus intéressant.  Le contrôle des courriels à crypter, les différents types de transmission, la simplicité de l’enregistrement, l’apparence (appelée «  branding ») des courriels et du site Web, sont les véritables différentiateurs d’une solution de courriel sécuritaire de première classe.

En tant que Responsable de l’engagement client chez Echoworx, un leader reconnu dans le domaine des communications numériques sécurisées, il est de mon devoir d’aider les entreprises à comprendre comment le cryptage s’intègre à leur modèle de gestion. Et pour moi, cela commence par les aider à créer une expérience de service complète et transparente pour leurs clients.

Lorsque je suis amené à travailler avec une nouvelle entreprise, un peu de temps est toujours nécessaire pour aborder les aspects fondamentaux de la sécurité de la plate-forme.  Cependant, vous serez peut-être surpris d’apprendre que beaucoup plus de temps est consacré à peaufiner l’expérience client pour répondre aux objectifs et aux attentes de l’entreprise.  Le courrier électronique sécurisé devient partie intégrante de la stratégie de communication de toute l’entreprise.  Il doit présenter un aspect authentique et utiliser des expressions et une terminologie qui correspondent au site Web et au contenu publicitaire de l’entreprise.

Il est également essentiel de tenir compte de la diversité des destinataires du courrier électronique sécurisé.  Une grand-mère à la maison avec un minimum d’expérience en informatique qui a besoin que tout lui soit expliqué en détail, par opposition à une technophile avisée de la génération du millénaire qui a des exigences en efficacité et automatisation.  La même expérience de messagerie sécurisée est utilisée pour les deux, donc il vaut mieux qu’elle ne soit pas une source d’aliénation pour personne !

Vos clients sont tous uniques, mais ils ont tous besoin de vous confier leurs données les plus personnelles, et ils vous quitteront si vous les perdez. Un récent sondage Echoworx, par exemple, a révélé que 80 % des clients envisagent de quitter une marque après une atteinte à leurs données. Ce n’est pas un chiffre négligeable.

Alors, comment pouvons-nous obtenir ce mélange parfait de courriels sécurisés tout en étant faciles à lire et à envoyer ?

Les employés de votre entreprise ne veulent pas d’étapes additionnelles ou de systèmes séparés.  Si c’est gênant, ils ne l’utiliseront pas.  Heureusement, votre réseau d’entreprise est déjà sécurisé par des pare-feu, des contrôles d’accès et une sécurité native sur votre serveur de messagerie.  Laissez donc le cryptage intervenir au moment où le courriel est sur le point de quitter votre réseau (communément appelé la « passerelle » (gateway) ou « frontière » (boundary).

C’est au destinataire de travailler avec la version cryptée de ce courriel, et la meilleure façon de les satisfaire est de l’envoyer dans un format qu’ils comprendront. Un partenaire commercial doit recevoir un cryptage transparent (appelé TLS), tandis qu’un client recevant un relevé mensuel doit avoir une pièce jointe PDF sécurisée.  Une banque européenne peut exiger des courriels PGP puisque les employés ont un logiciel PGP sur leur ordinateur de bureau.  La plate-forme de messagerie sécurisée doit s’en rendre compte en fonction des politiques que vous définissez lors de la personnalisation initiale du service.

Si vous faites des affaires à un niveau international, vous devez également connaître les lois et les règlements de la juridiction locale. Dans notre monde post-GDPR, vous savez qu’il est important de savoir où et comment vous stockez les données de vos clients. Mais n’oubliez pas de tenir compte de la façon dont vos communications sont transmises dans de nombreux pays non anglophones.  Voici un autre exemple de cette nouvelle couche de convivialité qui se retrouve dans la partie supérieure du cryptage en tant que tel.

Vous voulez que vos clients se sentent à l’aise avec vous et qu’ils puissent envoyer des informations sensibles par des canaux cryptés. Un client confus est susceptible de douter de la validité d’un message sécurisé et peut être plus exposé aux attaques frauduleuses. Investir dans la confidentialité des données n’est pas seulement bon pour votre marque, c’est aussi un bon service pour votre clientèle.

Quand c’est bien fait, c’est « c’est clair et simple ! »

Par Sarah Happé, Responsable de l’engagement client,  chez Echoworx

25 Oct 2018
Moving PGP to the cloud

VOUS MIGREZ VOTRE PGP VERS LE CLOUD ? VOICI CE QUE VOUS DEVEZ SAVOIR

Est-ce que le cryptage PGP est un élément dans votre stratégie de messagerie sécurisée ? Est-ce que vous hébergez actuellement ce système sur place ? Avez-vous déjà pensé à déplacer le cryptage de vos e-mails PGP vers le cloud ? Cela peut sembler fastidieux, mais, avec les outils et les services appropriés, le passage vers le cloud est un investissement à considérer pour vous et vos clients.

Un système PGP installé sur site est gourmand au niveau de la consommation de ressources et nécessite l’installation de logiciels sur votre poste de travail et vos serveurs. La charge de travail de votre service informatique peut être considérable – la migration vers le cloud peut considérablement soulager votre personnel.

Voici quelques points à considérer si vous songez à déménager :

Le cryptage des courriels ne doit pas seulement se limiter à un système acceptable.

Nous avons la responsabilité de protéger les messages sensibles que nous envoyons, et nous devons le faire d’une manière qui n’entrave pas nos activités.

Une solution efficace de cryptage de courriels dispose de cinq qualités principales :

  • Il est simple à mettre en œuvre
  • Il peut s’adapter à des demandes croissantes et à des augmentations imprévues des volumes de courriels.
  • Il est doté de nombreuses fonctionnalités, basé sur des normes et à jour, et supporte les technologies de cryptage les plus utilisées actuellement.
  • Il est conforme aux réglementations en vigueur, de sorte que les messages envoyés par l’UE, par exemple, ne sont pas stockés ou envoyés aux États-Unis ou dans d’autres pays qui pourraient compromettre le respect des règles du GDPR.
  • Il est opéré de façon sécurisée par un prestataire de confiance, soucieux de la sécurité.

Les systèmes en place ne devraient pas vous empêcher de migrer vers le cloud

La migration d’un système PGP installé sur place vers le cloud n’est pas seulement possible, ces systèmes existants peuvent également être migrés sans interruption, ce qui est un  aspect professionnel essentiel à considérer si votre entreprise envoie quotidiennement un grand nombre de messages sécurisés. Et vous avez accès à des méthodes de transmission sécurisées additionnelles, comme la possibilité d’envoyer des messages via un portail Web, et à des fonctions supplémentaires, comme la possibilité de personnaliser des messages avec un cryptage personnalisé pour la marque.

Gestion des clés de façon automatisée.

Selon la 13e étude sur le cryptage commanditée par Thales à l’Institut Ponemon, la gestion des clés demeure un problème majeur pour 57 % des entreprises. Et bon nombre de ces établissements indiquent qu’ils continuent de gérer manuellement leurs processus clés. Ce n’est pas une nouvelle statistique. En fait, la gestion des clés est demeurée un problème récurrent d’une année à l’autre ! La migration vers le cloud vous permet de simplifier votre processus de gestion des clés– et de l’automatiser.

Pourquoi utiliser la sécurité en tant que service ?

Dans le contexte actuel, les entreprises doivent s’adapter rapidement à l’évolution constante de la demande. Les menaces en matière de sécurité évoluent en permanence et la technologie continue de se métamorphoser de façon fulgurante. De nouveaux développements tels que les technologies informatiques mobiles, l’Internet des objets, le logiciel en tant que service et l’infrastructure en tant que service ouvrent la voie à des changements fondamentaux dans le mode opératoire des entreprises.

Travailler avec un prestataire de services de sécurité cloud peut apporter de nombreux avantages. Sheila Jordan, DSI de Symantec, par exemple, souligne que si les investissements informatiques et technologiques peuvent être utilisés pour assurer le fonctionnement et la croissance d’une entreprise, la liste des tâches à accomplir sera toujours supérieure aux ressources et fonds disponibles. L’informatique est souvent perçue comme un moyen facile de réduire les coûts, et en réponse, les DSI : « doivent donner la priorité aux demandes qui ont le plus de répercussions directes sur la rentabilité et les objectifs financiers de l’entreprise ». Les DSI sont non seulement chargés de protéger les données, mais aussi d’aider les entreprises à utiliser ces données pour générer des informations exploitables. La migration vers le cloud permet aux entreprises de suivre et de générer des rapports en temps réel [1].

 

Vous pensez à la Sécurité en tant que service ? Voici quelques questions à considérer :

  • Quel est votre profil de risque ?
  • Y a-t-il une situation de crise particulière face à laquelle vous êtes en train de faire face ?
  • Avez-vous déjà mis en place une stratégie claire ?

 

Une fois que la décision de passer au cloud a été prise, choisissez minutieusement votre prestataire. Ne cherchez pas une solution unique : si vous le faites, vous constaterez peut-être que la solution que vous avez choisie est rapidement devenue obsolète ou n’est pas le seul élément d’un produit plus sophistiqué. Demandez à votre nouveau partenaire de fournir une formation et un encadrement à vos équipes tout en guidant votre entreprise tout au long du processus. Plus important encore, apprenez à connaître l’équipe avec laquelle vous travaillerez, car de bonnes relations peuvent faire la différence lorsque vous faites face à une crise.

Sheila Jordan, de Symantec, nous donne la meilleure réponse : « Lorsque vous travaillez avec un partenaire qui a une bonne compréhension de votre entreprise et de ce que vous visez, il peut vous offrir un soutien et des solutions globales qui évolueront avec votre entreprise. Les bons partenaires seront toujours orientés vers le client, faisant tout ce qui est en leur pouvoir pour faire avancer votre entreprise ».

Découvrez à quel point il est facile de migrer votre PGP vers le cloud.

Par Christian Peel, VP Ingénierie, Echoworx

———

[1] Sheila Jordan, “Security as a Service,” in Canadian Cybersecurity 2018: An Anthology of CIO/CISO Enterprise-Level Perspectives, ed. Ajay K. Sood (Toronto: CLX Forum, 2018), 23-45.

22 Oct 2018
Am i a data controller or data processor

UNE UNION RÉALISÉE DANS LE CLOUD : LE RESPONSABLE DU TRAITEMENT DE DONNÉES ET LE SOUS-TRAITANT DE DONNÉES

Le Règlement général sur la protection des données (GDPR) de l’UE est entré en vigueur le 25 mai 2018. En particulier, le GDPR donne aux particuliers un plus grand contrôle sur leurs données personnelles, et il exige que les entreprises précisent clairement les raisons pour lesquelles elles recueillent ces informations. Dans le cadre du GDPR, les sociétés qui accèdent à l’information sur les clients sont définies comme étant des responsables du traitement et/ou des sous-traitants. Toute entreprise qui fait des affaires au sein de l’UE ou avec des citoyens ou des résidents de l’UE doit se conformer au GDPR, même si elle est basée en dehors de l’Europe.

Quelle est la relation entre les responsables du traitement et les sous-traitants ?

Le responsable du traitement est la personne, l’entreprise ou l’agence qui détermine quelles données seront collectées, auprès de qui et dans quel but. Le responsable du traitement détermine également où et comment les données à caractère personnel sont stockées et gérées. Le sous-traitant est la personne, la société ou l’agence qui traite les données pour le compte d’un responsable du traitement. En effet : le responsable du traitement est à la recherche d’un stockage de données, et le sous-traitant fournit le stockage. Mais les deux sont assujettis au GDPR.

Dans la plupart des cas, les responsables du traitement téléchargent les données vers un processeur. Le responsable du traitement traitera ensuite les données et les stockera dans le nuage. Comme le responsable du traitement conserve le contrôle des données, il est essentiel de faire confiance au responsable du traitement.

Voici quelques questions à considérer :

  • Savez-vous où se trouvent les serveurs de vos sous-traitants ?
  • Est-ce que votre sous-traitant se conforme au GDPR ?
  • Leurs procédures en matière de cloud sont-elles sécurisées ? Peuvent-ils le prouver à l’aide d’audits effectués par des tiers ?
  • Est-ce que votre sous-traitant est certifié WebTrust ? Sont-ils en conformité avec SOC2 ?

 

Les responsables du traitement doivent également être clairs sur les politiques de conservation des données. Les personnes doivent savoir combien de temps leurs données seront conservées, et les données ne peuvent être conservées au-delà du temps nécessaire. À la fin de cette période, toutes les données doivent être détruites. Les sous-traitants qui sauvegardent des données dans plusieurs systèmes doivent mettre en place des procédures pour s’assurer qu’elles peuvent être supprimées.

En tant qu’entreprise de traitement de données, Echoworx ne distribue du courrier qu’aux utilisateurs finaux. Nous stockons tous les courriels sous forme cryptée et les supprimons rapidement. Nous sommes en totale conformité avec le GDPR.

Qu’est-ce que cela signifie pour moi ?

Il existe de nombreux cas où les entreprises peuvent rencontrer des points de contact dans la relation entre le responsable du traitement et le sous-traitant. Prenons l’exemple des services bancaires : vous êtes peut-être une grande banque qui a tout simplement trop de clients pour fournir un cryptage de données fiable et efficace en interne. Votre banque signe une entente contractuelle avec un fournisseur de cryptage tiers pour crypter et envoyer de gros volumes d’états financiers sécurisés. Étant donné que vous conservez le contrôle des coordonnées du client et des détails du relevé, votre rôle dans cette relation est celui d’un contrôleur de données – alors que la plate-forme de cryptage tierce partie, qui traite les données pour un transit sécurisé, est le processeur de données.

En fin de compte, vous êtes responsable d’assurer la sécurité des données sensibles des clients, qu’il s’agisse d’informations aussi simples que leur adresse ou plus complexes comme leur historique financier. De plus, en vertu de règlements comme le GDPR et de règlements encore plus récents, comme l’AB 375 de la Californie, vous êtes également responsable de vous assurer que vos sous-traitants de données tiers respectent les normes de sécurité que vous leur imposez.

Pour vous aider à établir une base de référence de ce qui est nécessaire, vous pourriez faire appel à un audit de cybersécurité réalisé par un tiers – voici ce que vous devez savoir.

Le Cybersecurity Leadership Exchange Forum (CLX Forum) offre de nouvelles perspectives

Une analyse approfondie du GDPR et de ses implications est fournie par le Forum CLX, une communauté de réflexion du leadership canadien, dans son livre Canadian Cybersecurity 2018 : An Anthology of CIO/CISO Enterprise Level Perspectives. Parmi les nombreuses observations les plus intéressantes, Edward Kiledjian, VP Information Security, Compliance and CISO chez OpenText, aborde la question de savoir à qui appartiennent les informations personnelles. Bien que cette question n’ait pas encore été tranchée en Amérique du Nord, le GDPR indique clairement qu’en Europe, les particuliers sont désormais propriétaires de leurs données. À tout moment, un citoyen de l’UE peut révoquer le droit d’une organisation de stocker ses données personnelles. Et si un citoyen de l’UE demande à une entreprise de détruire des données, l’entreprise doit le faire dans un délai d’un mois. Il est également important de noter que les données recueillies précédemment ne sont pas exemptées de ce règlement. Si votre entreprise a déjà recueilli des données auprès de résidents de l’UE dans le passé, les responsables du traitement doivent obtenir leur consentement pour l’utilisation actuelle de ces données. [1]

Un autre aspect important du GDPR est que son agence de réglementation teste activement la sécurité. Dans le cadre de ce processus, elle mesure également la façon dont les entreprises réagissent aux attaques. Comme le souligne Amir Belkhelladi, associé, Risk Advisory, chez Deloitte Canada, les conseils d’administration des sociétés sont maintenant directement responsables devant l’organisme de réglementation de GDPR. Les conseils doivent comprendre comment les données sont collectées, utilisées, sauvegardées et supprimées. Ils doivent également s’assurer que la direction suit ces nouveaux règlements. [2]

Des Sanctions à travers des amendes.

Avant le GDPR, les entreprises se faisaient surtout du souci quant à l’impact sur la réputation d’une atteinte à la cybersécurité. Aujourd’hui, en plus des dommages coûteux causés aux marques, les failles de sécurité ont de graves conséquences financières. Les entreprises qui ne protègent pas suffisamment les données peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros, soit 4 % de leur chiffre d’affaires annuel global, le montant le plus élevé étant retenu. Les entreprises n’ont que 72 heures pour signaler un incident, et elles sont tenues d’aviser les clients « sans délai indu » après avoir pris connaissance d’un incident.

Les entreprises qui ne fournissent pas de biens ou de services aux résidents de l’UE ne sont pas tenues de se conformer au GDPR. Mais le protocole GDPR s’applique également aux résidents de l’UE résidant à l’étranger et aux entreprises qui engagent des tiers ayant des liens avec des pays de l’UE. Pour ceux qui continuent à faire des affaires en Europe, la protection de la vie privée par la conception deviendra leur nouveau mot d’ordre. Les organisations doivent s’assurer que leurs systèmes répondent à ces normes strictes. Certaines petites organisations décideront-elles qu’elles ne peuvent plus faire affaire avec des citoyens de l’UE ? Presque certainement. Mais pour chaque entreprise opérant en Europe, la mise en conformité devrait être obligatoire. Et comme GDPR est l’ensemble le plus rigoureux de règlements sur la protection de la vie privée jamais adoptée, les entreprises qui sont en conformité peuvent être assurées qu’elles sont en conformité à l’échelle mondiale.

Par Nicholas Sawarna, Sr. Spécialiste en Content Marketing, chez Echoworx


[1] CLX Forum, Chapter 12, “General Data Protection Regulation (GDPR)”

[2] CLX Forum, Chapter 3, “Coaching Your Board and Leadership Peers on Cybersecurity Issues”